Addendum per il trattamento dei dati RingCentral

Data Processing Agreement (DPA)

Il presente Addendum per il trattamento dei dati (Data Processing Agreement - "DPA") è stipulato, ai sensi dell’art. 28 del Regolamento UE 679/2016 ("GDPR"), tra RingCentral e il Cliente (ciascuno una "Parte", insieme le "Parti"), ed è complementare all'accordo stipulato tra le Parti a cui è allegato ("Accordo") per la fornitura dei Servizi (come definiti di seguito) al Cliente.

I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno lo stesso significato che hanno nell'Accordo.

1.    Definizioni
1.1    Ai fini del presente DPA:
        (a)    Per "Affiliato" si intende una persona o un'entità controllata da una Parte del presente Addendum, che controlla una Parte del presente Addendum, o che è sotto         controllo comune con una Parte del presente Addendum; per "controllo" si intende la proprietà effettiva di più del cinquanta per cento (50%) dei diritti di voto o delle         partecipazioni di un'entità esistente. 
        (b)    "Accordo" indica il principale accordo tra il Cliente e RingCentral per la fornitura di qualsiasi servizio RingCentral al Cliente (ciascuno un "Servizio" e         collettivamente i "Servizi"). 
        (c)    "Leggi applicabili sulla protezione dei dati" indica tutte le leggi sulla protezione dei dati e sulla privacy applicabili a RingCentral nel trattamento dei dati         personali ai sensi del presente DPA, incluso il GDPR.
        (d)    "Titolare" è l'entità che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei Dati personali. 
        (e)    "Dati personali del Cliente" indica qualsiasi dato personale che RingCentral tratta per conto del Cliente in qualità di responsabile del trattamento ai sensi         dell'Accordo. 
        (f)    "Dati personali" significa qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito dalle Leggi applicabili sulla protezione         dei dati. 
        (g)    "Responsabile del trattamento" indica l'entità che tratta i Dati personali per conto del Titolare.
        (h)    "Incidente di sicurezza" significa una violazione della sicurezza che porta a qualsiasi distruzione accidentale o illegale, perdita, alterazione, divulgazione non         autorizzata o accesso ai Dati personali del Cliente che compromette la privacy, la sicurezza o la riservatezza di tali Dati personali.
 
2.    Ambito di applicazione del DPA
2.1    Il presente DPA si applica nella misura in cui RingCentral tratta i Dati personali del Cliente per conto di un Cliente in qualità di responsabile del trattamento, come definito dalle Leggi applicabili sulla protezione dei dati. Qualsiasi trattamento di Dati personali in qualità di Titolare da parte di RingCentral è al di fuori del campo di applicazione del presente DPA.
 
3.    Ruoli e responsabilità
3.1    Ruoli delle parti. Tra le parti e ai fini del presente DPA il Cliente sarà il Titolare dei Dati personali del Cliente trattati da RingCentral ai sensi dell'Accordo in qualità di Responsabile per conto del Cliente. RingCentral rispetterà gli obblighi di un Titolare ai sensi del GDPR nella misura in cui tratta i Dati personali in qualità di Titolare per i legittimi scopi commerciali di RingCentral, incluso quanto necessario per il funzionamento dei Servizi offerti, e quanto necessario per rispettare la legge applicabile.
 
3.2    Obblighi del Cliente. Il Cliente si impegna a:
        (a)    Assicurarsi di poter comunicare legittimamente i Dati personali del Cliente a RingCentral per gli scopi indicati nell'Accordo;
        (b)    Rispettare le Leggi applicabili sulla protezione dei dati nell'uso dei Servizi, e la propria raccolta ed elaborazione dei Dati personali, inclusi i Dati personali del         Cliente; e
        (c)    Trattare categorie speciali di Dati personali o dati sensibili (come definiti dalle Leggi applicabili sulla protezione dei dati), o Dati personali riguardanti bambini o         minori, o relativi a condanne penali e reati, legittimamente e basandosi su una base giuridica valida in conformità alle Leggi applicabili sulla protezione dei dati. Le         Parti riconoscono che i Servizi non sono progettati per riconoscere e/o classificare tali dati.
 
3.3    Limitazione dello scopo
        (a)    Eccetto dove diversamente richiesto dalla legge applicabile, RingCentral tratterà i Dati personali del Cliente (i) in conformità con le istruzioni documentate del         Cliente (le quali istruzioni sono indicate nell'Accordo, nel presente DPA e nella configurazione e nell'utilizzo dei Servizi da parte del Cliente, in conformità con le         condizioni d'uso applicabili), (ii) allo scopo di fornire, monitorare, sviluppare, migliorare e mantenere i Servizi.
        (b)    RingCentral non venderà in alcun caso a terzi Dati personali del cliente.
 
3.4    Riservatezza del trattamento. RingCentral garantirà che qualsiasi persona autorizzata al trattamento dei Dati personali del Cliente sia soggetta ad un obbligo di riservatezza (contrattuale o di legge).
 
3.5    Sicurezza. RingCentral manterrà misure di sicurezza tecniche e organizzative appropriate per salvaguardare la sicurezza dei Dati personali del Cliente. RingCentral manterrà un programma di sicurezza delle informazioni e di gestione dei rischi basato sulle migliori pratiche commerciali per preservare la riservatezza, l'integrità e l'accessibilità dei Dati personali del Cliente con misure amministrative, tecniche e fisiche conformi agli standard e alle pratiche industriali delle telecomunicazioni generalmente riconosciute.
 
3.6    Incidenti di sicurezza. Nel momento in cui verrà a conoscenza di un Incidente di Sicurezza, RingCentral notificherà all'Utente senza indebito ritardo le informazioni di contatto che l'Utente ha fornito nel Portale Amministrativo e fornirà le informazioni tempestive che l'Utente potrà ragionevolmente richiedere, anche per consentire all'Utente di adempiere a qualsiasi obbligo di segnalazione di violazione dei dati ai sensi delle Leggi applicabili sulla protezione dei dati.
 
3.7    Fornitura di rapporti sulla sicurezza. RingCentral selezionerà un revisore terzo indipendente e qualificato per condurre, a spese di RingCentral, almeno un audit annuale sulla sicurezza dei Servizi e degli ambienti, in conformità a standard riconosciuti a livello internazionale come ISO27001, SOC 2, standard di tipo II o equivalenti. Su richiesta del Cliente e sotto accordo di non divulgazione, RingCentral fornirà una copia dei rapporti di audit più recenti (o un'attestazione di sicurezza simile) per documentare la conformità al requisito di cui sopra, laddove tale certificazione sia disponibile. Tale rapporto di audit è un'informazione confidenziale di RingCentral e il Cliente non potrà distribuirlo a terzi senza l'approvazione scritta di RingCentral.
 
3.8    Cancellazione o restituzione dei dati. Alla risoluzione o alla scadenza del Contratto, RingCentral cancellerà i Dati personali del Cliente (incluse le copie) in possesso di RingCentral o, su richiesta del Cliente, fornirà opzioni per restituire i Dati personali al Cliente, tranne che nella misura in cui RingCentral sia obbligata dalla legge applicabile a conservare in tutto o in parte i Dati personali del Cliente.
 
4.    Obblighi del GDPR
4.1    Applicabilità. Questa Sezione 4 e il RingCentral Security Addendum disponibile all'indirizzo https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf si applicano al trattamento dei Dati personali del Cliente che sono soggetti al GDPR.
 
4.2    Sub-responsabili. Il Cliente accetta che RingCentral e le sue affiliate possano nominare affiliati RingCentral e sub-responsabili di terze parti (collettivamente, "Sub-responsabili") per trattare i Dati personali del Cliente per conto di RingCentral. A seconda della portata e della natura del trattamento, RingCentral imporrà a tali Sub-responsabili condizioni di protezione dei dati che proteggano i Dati personali del Cliente ad uno standard equivalente a quello previsto dal presente DPA e RingCentral rimarrà responsabile per qualsiasi violazione del DPA causata da un sub-responsabile. I Sub-responsabili nominati da RingCentral in relazione a ciascuno dei Servizi al momento dell'Accordo sono indicati nell'elenco dei Sub-responsabili di RingCentral disponibile all'indirizzo https://netstorage.ringcentral.com/documents/RingCentral_Subprocessor_List.pdf.
 
4.3    Avviso sui Sub-responsabili. RingCentral può, dando un ragionevole preavviso al Cliente alle informazioni di contatto che il Cliente ha fornito nel Portale Amministrativo, aggiungere o  sostituire Sub-responsabili. Se il Cliente si oppone alla nomina di un ulteriore Sub-responsabile entro trenta (30) giorni di calendario da tale avviso per motivi ragionevoli relativi alla protezione dei Dati personali del Cliente, allora le parti discuteranno tali questioni al fine di raggiungere una soluzione. Se tale soluzione non può essere raggiunta, allora RingCentral non nominerà il Sub-responsabile o, se ciò non è possibile, il Cliente avrà il diritto di sospendere o terminare il Servizio RingCentral interessato senza incorrere in penali con un preavviso scritto di trenta (30) giorni a RingCentral. Nonostante quanto sopra, in caso di forza maggiore (come un guasto al Sub-responsabile RingCentral) che può provocare una sospensione o un'interruzione del Servizio, RingCentral si riserva il diritto di cambiare immediatamente il Sub-responsabile al fine di mantenere o ripristinare le condizioni standard del Servizio. In questa situazione, la notifica del cambio di Sub-responsabile può essere eccezionalmente inviata dopo il cambio.
 
4.4    Cooperazione e diritti degli interessati. È responsabilità del Cliente rispondere a qualsiasi richiesta degli interessati. Alcuni dei Servizi RingCentral possono fornire mezzi tecnici diretti per consentire al Cliente di adempiere ai suoi doveri di rispondere alle richieste degli interessati in base alle Leggi applicabili sulla protezione dei dati. Se il Cliente non è in grado di rispondere alla richiesta dell'interessato attraverso tali mezzi tecnici, o se tale funzionalità non è disponibile, RingCentral, tenendo conto della natura del trattamento, fornirà un'assistenza ragionevole al Cliente, per consentirgli di rispondere a tali richieste degli interessati. Nel caso in cui tale richiesta venga fatta direttamente a RingCentral, RingCentral comunicherà prontamente l'interessato di contattare il Cliente.
 
4.5    Valutazioni d'impatto sulla protezione dei dati. RingCentral, nella misura richiesta dal GDPR, e su richiesta e a spese del Cliente, fornirà al Cliente un'assistenza ragionevole per le valutazioni di impatto sulla protezione dei dati o per le consultazioni preventive con le autorità di protezione dei dati che il Cliente è tenuto a svolgere ai sensi del GDPR in relazione ai Servizi.
 
4.6    Trasferimenti internazionali. RingCentral può trasferire ed elaborare i Dati personali del Cliente al di fuori dello Spazio Economico Europeo ("SEE"), della Svizzera o del Regno Unito, in conformità con l'elenco dei Sub-responsabili pubblicato, in luoghi in cui RingCentral, le sue affiliate o i suoi Sub-responsabili mantengono operazioni di trattamento dei dati. Nella misura in cui RingCentral tratta (o fa trattare) qualsiasi Dati personale del Cliente proveniente dallo SEE, dalla Svizzera o dal Regno Unito in un paese che non è stato riconosciuto dalla Commissione Europea garantire un adeguato livello di protezione dei Dati personali del Cliente, RingCentral rispetterà le Leggi applicabili sulla protezione dei dati dello Spazio Economico Europeo, della Svizzera e del Regno Unito per quanto riguarda la raccolta, l'uso, trasferimento, conservazione e altri trattamenti di Dati personali del Cliente dallo Spazio Economico Europeo, dalla Svizzera e dal Regno Unito, e metterà in atto le misure necessarie per garantire che il trasferimento sia conforme alle Leggi applicabili sulla protezione dei dati, che includono la sottoscrizione delle clausole contrattuali standard della Commissione Europea, o la messa in atto di qualsiasi altro meccanismo di trasferimento valido secondo le Leggi applicabili sulla protezione dei dati.
 
4.7    Audit.
        (a)    Entrambe le Parti riconoscono che è intenzione delle stesse fare normalmente affidamento sulla fornitura dei rapporti di sicurezza alla Sezione 3.7 di cui sopra         per verificare la conformità di RingCentral con questo DPA.
        (b)    Inoltre, su richiesta del Cliente, ma non più di una volta in ogni periodo di 12 mesi, RingCentral completerà un questionario sul programma di sicurezza delle         informazioni fornito dal Cliente, limitato agli effettivi servizi/ambienti relativi ai Servizi forniti al Cliente ("Security Review"). 
        (c)    Dopo l'esame da parte del Cliente del rapporto di audit di RingCentral o di un'attestazione simile, e del questionario sulla sicurezza delle informazioni completato         (comprese eventuali modifiche introdotte da RingCentral per affrontare eventuali lacune), se, nella misura richiesta dal GDPR, ulteriori informazioni sono         ragionevolmente necessarie per dimostrare il rispetto degli obblighi di RingCentral ai sensi delle Leggi applicabili sulla protezione dei dati e del presente DPA, Il         Cliente può richiedere per iscritto l'esecuzione di un audit (comprese le ispezioni) di RingCentral ai sensi della procedura di richiesta di audit riportata di seguito, non         più di una volta ogni dodici (12) mesi, a meno che un'autorità di vigilanza non richieda specificamente che venga eseguito un audit di RingCentral o in risposta a un         incidente di sicurezza.  
        (d)    Al fine di esercitare il suo diritto di controllo ai sensi di questa sezione, il Cliente deve fornire a RingCentral una richiesta scritta e dettagliata, includendo la         spiegazione delle lacune nei rapporti di controllo forniti da RingCentral e nel Security Review che rendono il controllo necessario per dimostrare la conformità di         RingCentral a questo DPA o alle Leggi applicabili sulla protezione dei dati.
        (e)    L'audit può essere eseguito dal Cliente o da un auditor di terze parti (qualsiasi terza parte deve essere vincolata a stringenti obblighi di riservatezza, inclusi i         requisiti che i singoli auditor nominati non abbiano eseguito audit di nessuno dei concorrenti di RingCentral nei precedenti dodici (12) mesi e che sia loro vietato         eseguire tali audit nei dodici (12) mesi successivi all'audit di RingCentral) esclusivamente a spese del Cliente. RingCentral può opporsi per iscritto a qualsiasi revisore         terzo se il revisore è, secondo l'opinione ragionevole di RingCentral, non adeguatamente qualificato o indipendente, un concorrente di RingCentral, o altrimenti         manifestamente inadatto. Qualsiasi obiezione da parte di RingCentral richiederà al Cliente di nominare un altro revisore o di condurre la revisione stessa.
        (f)    RingCentral e il Cliente concorderanno in anticipo lo scopo e i tempi della verifica, per proteggere le informazioni riservate e proprietarie di RingCentral e di altre         parti, per ridurre al minimo le interruzioni dell'attività di RingCentral, per limitare lo scopo ai servizi/ambienti effettivi relativi ai servizi forniti al Cliente, e per         concordare una durata ragionevole della verifica.
        (g)    L'esecuzione dell'audit avverrà durante il normale orario di lavoro per il personale RingCentral coinvolto e le parti concordano che RingCentral renderà         disponibile il materiale per la revisione del Cliente, che non potrà essere conservato dal Cliente. RingCentral può addebitare un onorario ragionevole per i costi         sostenuti in relazione a tale revisione in base alle tariffe dei servizi professionali di RingCentral, a meno che la revisione non mostri una violazione materiale da parte         di RingCentral. RingCentral fornirà all'Utente i dettagli di qualsiasi tariffa applicabile, e la base del suo calcolo, in anticipo rispetto a qualsiasi revisione.
        (h)    Tutte le informazioni fornite o rese disponibili al Cliente ai sensi di questa sezione saranno considerate informazioni riservate di RingCentral.
 
4.8    Richieste di accesso ai dati. Se RingCentral riceve una richiesta da parte delle forze dell'ordine o di altre autorità governative di accesso ai Dati personali del Cliente che RingCentral sta trattando per conto del Cliente, RingCentral notificherà e fornirà al Cliente i dettagli della richiesta di accesso ai dati prima di comunicare qualsiasi Dato personale del Cliente, a meno che non sia vietato dalla legge o laddove esista un rischio imminente di grave danno che proibisca la notifica preliminare.
 
5.    Varie
5.1    A meno che quanto sopra non indichi esplicitamente il contrario, i termini e le condizioni dell'Accordo si applicano al DPA. In caso di conflitto tra i termini dell'Accordo e i termini del presente DPA, i termini del presente DPA prevalgono per quanto riguarda le attività di RingCentral di trattamento dei Dati personali del Cliente.
 
5.2    La legge e il foro che si applicano all'Accordo si applicano anche a questo DPA.
 
5.3    Contatto per domande sulla privacy: privacy@RingCentral.com.