La pro­tezione dei dati per­son­ali degli indi­vidui è un dirit­to fon­da­men­tale sec­on­do la legge del­l’UE ed è attual­mente rego­la­ta dal Rego­la­men­to gen­erale sul­la pro­tezione dei dati (Rego­la­men­to (UE) ²⁰¹⁶⁄₆₇₉) (il “GDPR”). Il GDPR speci­fi­ca che il trat­ta­men­to dei dati per­son­ali da parte di un respon­s­abile per con­to di un tito­lare dovrà essere dis­ci­plina­to da un accor­do scrit­to che regoli, tra l’al­tro, le cir­costanze e le con­dizioni in base alle quali tale trat­ta­men­to può avere luogo.

Questo Alle­ga­to sul trat­ta­men­to dei dati (il “Alle­ga­to” o “DPA”) è parte dei Ter­mi­ni di Servizio di Work­sec­tion disponi­bili su worksection.com/en/agreement.html, (i “Ter­mi­ni di Servizio”, aggior­nati di vol­ta in vol­ta), o di altro accor­do che dis­ci­plina l’u­so dei servizi di Work­sec­tion (“Accor­do”) stip­u­la­to tra te, il Cliente (come defini­to nel­l’Ac­cor­do — col­let­ti­va­mente, “tu”, “tuo”, “Cliente”), e Work­sec­tion LLC (“Work­sec­tion”, “noi”, “ci”, “nos­tro”) per riflet­tere l’ac­cor­do delle par­ti riguar­do al trat­ta­men­to dei dati per­son­ali da parte di Work­sec­tion esclu­si­va­mente per con­to del Cliente. Entrambe le par­ti saran­no indi­cati come le “Par­ti” e cias­cu­na, una “Parte”.

Le Par­ti han­no con­corda­to che Work­sec­tion fornirà al Cliente uno stru­men­to di ges­tione dei prog­et­ti basato su cloud (di segui­to denom­i­na­to “Servizi”), ai sen­si del quale Work­sec­tion trat­terà alcu­ni dati per­son­ali per con­to del Cliente in qual­ità di respon­s­abile. Per­tan­to, le Par­ti riconoscono la neces­sità di stip­u­lare questo Alle­ga­to sep­a­ra­to per rego­lare il trat­ta­men­to dei dati per­son­ali da parte di Work­sec­tion per con­to del Cliente. Uti­liz­zan­do i Servizi, il Cliente accetta questo DPA e chi­unque entri nei Ter­mi­ni di Servizio per con­to di un’azien­da o di un’al­tra entità legale, rap­p­re­sen­ta di avere l’au­torità di vin­co­lare tale entità e le sue affil­i­ate a questi ter­mi­ni e con­dizioni, nel qual caso i ter­mi­ni “tu” e “tuo” in questo doc­u­men­to si riferi­ran­no a tale entità. Se non puoi, o non sei d’ac­cor­do a, rispettare e essere vin­co­la­to da questo DPA, o non hai autorità per vin­co­lare il Cliente o qual­si­asi altra entità, ti preghi­amo di non fornire dati per­son­ali a noi.

In caso di con­flit­to tra deter­mi­nate dis­po­sizioni del pre­sente DPA e le dis­po­sizioni del­l’Ac­cor­do, le dis­po­sizioni del pre­sente DPA pre­var­ran­no sulle dis­po­sizioni in con­flit­to del­l’Ac­cor­do esclu­si­va­mente rispet­to al trat­ta­men­to dei dati personali.

I ter­mi­ni in maius­co­lo non defin­i­ti nel pre­sente doc­u­men­to avran­no i sig­ni­fi­cati asseg­nati a tali ter­mi­ni nell’Accordo.

(a) “Affil­i­ate” sig­nifi­ca qual­si­asi entità che con­trol­la, è con­trol­la­ta da, o è sot­to con­trol­lo comune con l’en­tità sogget­ta. “Con­trol­lo”, ai fini di ques­ta definizione, sig­nifi­ca la pro­pri­età o il con­trol­lo diret­to o indi­ret­to di oltre il 50% degli inter­es­si di voto del­l’en­tità soggetta.

(b) “Affil­ia­to autor­iz­za­to” sig­nifi­ca uno degli Affil­iati del Cliente che è esplici­ta­mente autor­iz­za­to ad uti­liz­zare i Servizi ai sen­si del­l’Ac­cor­do tra Cliente e Work­sec­tion ma che non ha fir­ma­to un pro­prio accor­do con Work­sec­tion e non è un “Cliente” come defini­to dall’Accordo.

© “CCPA” sig­nifi­ca il Cal­i­for­nia Con­sumer Pri­va­cy Act del 2018. Sezione 1798.100.

(d) I ter­mi­ni “Tito­lare“, “Sta­to Mem­bro“, “Respon­s­abile“, “Trat­ta­men­to” e “Autorità di vig­i­lan­za” avran­no lo stes­so sig­ni­fi­ca­to pre­vis­to dal GDPR. I ter­mi­ni “Attiv­ità”, “Final­ità del­l’at­tiv­ità”, “Con­suma­tore” e “For­n­i­tore di servizi” avran­no lo stes­so sig­ni­fi­ca­to pre­vis­to dal CCPA.

A scopo di chiarez­za, all’in­ter­no di questo DPA “Tito­lare” sig­ni­ficherà anche “Attiv­ità”, e “Respon­s­abile” sig­ni­ficherà anche “For­n­i­tore di servizi”, nel­la misura in cui il CCPA si appli­ca. In maniera analo­ga, il Sot­to-respon­s­abile del respon­s­abile si riferirà anche al con­cet­to di For­n­i­tore di servizi.

(e) “Leg­gi sul­la pro­tezione dei dati” sig­nifi­ca tutte le leg­gi e le nor­ma­tive sul­la pri­va­cy e la pro­tezione dei dati applic­a­bili e vin­colan­ti, incluse tali leg­gi e nor­ma­tive del­l’U­nione Euro­pea, del­lo Spazio Eco­nom­i­co Europeo e dei loro Sta­ti mem­bri, Svizzera, Reg­no Uni­to, Cana­da e Sta­ti Uni­ti d’Amer­i­ca, come applic­a­bile al trat­ta­men­to dei dati per­son­ali ai sen­si del­l’Ac­cor­do, inclusi (sen­za lim­i­tazioni) il GDPR, il UK GDPR, e il CCPA, come applic­a­bile al trat­ta­men­to dei dati per­son­ali ai sen­si del pre­sente doc­u­men­to e in vig­ore al momen­to del­l’adem­pi­men­to del Respon­s­abile ai sen­si del pre­sente documento.

(f) “Inter­es­sato” sig­nifi­ca la per­sona iden­ti­fi­ca­ta o iden­ti­fi­ca­bile alla quale si riferiscono i dati personali.

(g) “GDPR” sig­nifi­ca il Rego­la­men­to (UE) ²⁰¹⁶⁄₆₇₉ del Par­la­men­to europeo e del Con­siglio del 27 aprile 2016 sul­la pro­tezione delle per­sone fisiche rispet­to al trat­ta­men­to dei dati per­son­ali e sul­la lib­era cir­co­lazione di tali dati, e che abro­ga la Diret­ti­va 95/46/CE (Rego­la­men­to gen­erale sul­la pro­tezione dei dati).

(h) “Dati per­son­ali” o “Infor­mazioni per­son­ali” sig­nifi­ca qual­si­asi infor­mazione che iden­ti­fi­ca, si riferisce, descrive, è in gra­do di essere asso­ci­a­ta, o potrebbe ragionevol­mente essere col­le­ga­ta, diret­ta­mente o indi­ret­ta­mente, a o con una per­sona fisi­ca o un Con­suma­tore iden­ti­fi­ca­to o iden­ti­fi­ca­bile, che viene trat­ta­ta da Work­sec­tion esclu­si­va­mente per con­to del Cliente, ai sen­si di questo DPA e del­l’Ac­cor­do tra Cliente e Worksection.

(i) “Servizi” sig­nifi­ca la piattafor­ma del sis­tema oper­a­ti­vo basato su cloud (“Piattafor­ma”) e qual­si­asi altro servizio for­ni­to al Cliente da Work­sec­tion ai sen­si dell’Accordo.

(j) “Doc­u­men­tazione sul­la sicurez­za” sig­nifi­ca la doc­u­men­tazione sul­la sicurez­za speci­fi­ca­mente applic­a­bile al trat­ta­men­to dei dati per­son­ali da parte di Work­sec­tion ai sen­si del­l’Ac­cor­do e del pre­sente DPA, come aggior­na­to di vol­ta in vol­ta, e acces­si­bile tramite worksection.com/en/agreement.html, o come altri­men­ti ragionevol­mente reso disponi­bile da Worksection.

(k) “Dati sen­si­bili” sig­nifi­ca i dati per­son­ali pro­tet­ti da una leg­is­lazione spe­ciale e che richiedono un trat­ta­men­to uni­co, come “cat­e­gorie spe­ciali di dati”, “dati sen­si­bili” o altri ter­mi­ni mate­rial­mente sim­ili ai sen­si delle Leg­gi sul­la pro­tezione dei dati applic­a­bili, che pos­sono includ­ere, tra l’al­tro: (a) numero di prev­i­den­za sociale, numero di file fis­cale, numero di pas­s­apor­to, numero di patente di gui­da o iden­ti­fi­ca­tore sim­i­le (o qual­si­asi parte di essi); (b) numero di car­ta di cred­i­to o di deb­ito; © infor­mazioni finanziarie, di cred­i­to, genetiche, bio­met­riche o sul­la salute; (d) infor­mazioni che riv­e­lano orig­ine razz­iale o etni­ca, opin­ioni politiche, cre­den­ze reli­giose o filoso­fiche, o apparte­nen­za a sin­da­cati, dati geneti­ci o dati bio­metri­ci per scopi di iden­ti­fi­cazione uni­vo­ca di una per­sona fisi­ca, dati riguardan­ti la salute o la vita ses­suale o l’ori­en­ta­men­to ses­suale di una per­sona, o dati rel­a­tivi a con­danne e reati penali; e/o (e) pass­word del­l’ac­count in for­ma non criptata.

(l) “Sot­to-respon­s­abile” sig­nifi­ca qual­si­asi terza parte che trat­ta i dati per­son­ali su istruzione o super­vi­sione di Worksection.

(m) “UK GDPR” sig­nifi­ca il Data Pro­tec­tion Act 2018, così come il GDPR nel­la misura in cui fa parte del­la legge di Inghilter­ra e Galles, Sco­zia e Irlan­da del Nord in virtù del­la sezione 3 del­l’Eu­ro­pean Union (With­draw­al) Act 2018 e come mod­i­fi­ca­to dalle Data Pro­tec­tion, Pri­va­cy and Elec­tron­ic Com­mu­ni­ca­tions (Amend­ments etc.) (EU Exit) Reg­u­la­tions 2019 (SI ²⁰¹⁹⁄₄₁₉).

2.1. Ambito e ruoli. Questo Alle­ga­to si appli­ca quan­do i Dati del Cliente ven­gono trat­tati da Work­sec­tion per con­to del Cliente come parte del­l’ese­cuzione dei Servizi.

2.2. Con­for­mità alle leg­gi. Cias­cu­na parte dovrà rispettare tutte le leg­gi, regole e nor­ma­tive a essa applic­a­bili e vin­colan­ti nel­l’ese­cuzione del pre­sente Alle­ga­to, incluse tutte le dis­po­sizioni legali rel­a­tive alla pro­tezione dei dati.

2.3. La natu­ra e la final­ità del trat­ta­men­to dei dati. Finché il Cliente uti­liz­za i Servizi, e in con­seguen­za del­l’u­ti­liz­zo dei Servizi da parte del Cliente, Work­sec­tion trat­terà i Dati del Cliente per con­to del Cliente. I Dati del Cliente includono ma non sono lim­i­tati a nomi, ind­i­rizzi e infor­mazioni di con­tat­to degli uten­ti invi­tati del Cliente, così come altri tipi di dati per­son­ali che il Cliente caricherà sui Servizi in diver­si prog­et­ti, collezioni e bacheche. I Dati del Cliente pos­sono riguardare i dipen­den­ti, i diret­tori, gli agen­ti, i cli­en­ti e i sub­ap­pal­ta­tori del Cliente, ma anche terze par­ti che sono in qualche modo parte di o cor­re­late a un prog­et­to gesti­to dal Cliente durante l’u­ti­liz­zo dei Servizi. I Dati del Cliente pos­sono includ­ere anche dati tec­ni­ci, dati di uti­liz­zo, sta­tis­tiche sul­la qual­ità e infor­mazioni sim­ili (incluse ma non lim­i­tate a met­riche rel­a­tive ai dis­pos­i­tivi e basate sul­la posizione) rel­a­tive all’ac­ces­so e all’u­so dei Servizi da parte del Cliente.

2.4. Istruzioni per il trat­ta­men­to dei dati. Work­sec­tion trat­terà i Dati del Cliente in con­for­mità alle istruzioni doc­u­men­tate del Cliente, incluse quelle rel­a­tive ai trasfer­i­men­ti di dati per­son­ali ver­so un paese ter­zo o un’or­ga­niz­zazione inter­nazionale, sal­vo diver­so req­ui­si­to pre­vis­to dal­la legge applic­a­bile. Even­tu­ali costi aggiun­tivi che sor­gono a causa di tali restrizioni saran­no a cari­co del Cliente. Le par­ti con­cor­dano che questo Alle­ga­to cos­ti­tu­isce le istruzioni com­plete e finali del Cliente per Work­sec­tion in relazione al trat­ta­men­to dei Dati del Cliente. Il trat­ta­men­to al di fuori del­l’am­bito di questo Alle­ga­to (se pre­sente) richiederà un accor­do scrit­to pre­ven­ti­vo tra Work­sec­tion e il Cliente su ulte­ri­ori istruzioni per il trat­ta­men­to, com­pre­so l’ac­cor­do su even­tu­ali costi aggiun­tivi che il Cliente pagherà a Work­sec­tion per l’ese­cuzione di tali istruzioni. Il Cliente può risol­vere questo Alle­ga­to se Work­sec­tion rifi­u­ta di seguire istruzioni richi­este dal Cliente che sono al di fuori del­l’am­bito di questo Allegato.

2.5. Acces­so o uti­liz­zo. Work­sec­tion non acced­erà o uti­lizzerà i Dati del Cliente, se non nec­es­sario per man­tenere, miglio­rare e fornire i Servizi richi­esti dal Cliente.

2.6. Det­tagli del trat­ta­men­to. La dura­ta del trat­ta­men­to, la natu­ra e lo scopo del trat­ta­men­to, i tipi di Dati del Cliente e le cat­e­gorie di sogget­ti inter­es­sati trat­tate ai sen­si di questo DPA sono ulte­ri­or­mente spec­i­fi­cati nel­l’Al­le­ga­to 1 (Det­tagli del trat­ta­men­to) a questo DPA.

2.7. Assis­ten­za. Tenen­do con­to del­la natu­ra del trat­ta­men­to, Work­sec­tion assis­terà il Cliente con appro­priati mis­ure tec­niche e orga­niz­za­tive, nel­la misura in cui ciò sia pos­si­bile, per il rispet­to del­l’ob­bli­go del Cliente di rispon­dere alle richi­este di esercitare i dirit­ti degli interessati.

2.8. Divul­gazione. Work­sec­tion non divul­gherà i Dati del Cliente a nes­sun gov­er­no, se non nec­es­sario per con­for­mar­si alla legge o a un’or­di­nan­za val­i­da e vin­colante di un’a­gen­zia di appli­cazione del­la legge (come un’ingiun­zione o un’or­di­nan­za del tri­bunale). Se un’a­gen­zia di appli­cazione del­la legge invia a Work­sec­tion una richi­es­ta di Dati del Cliente, Work­sec­tion ten­terà di reind­i­riz­zare l’a­gen­zia di appli­cazione del­la legge per richiedere tali dati diret­ta­mente al Cliente. Come parte di questo sfor­zo, Work­sec­tion potrebbe fornire le infor­mazioni di con­tat­to di base del Cliente all’a­gen­zia di appli­cazione del­la legge. Se costret­to a divul­gare i Dati del Cliente a un’a­gen­zia di appli­cazione del­la legge, Work­sec­tion darà al Cliente un ragionev­ole preavvi­so del­la richi­es­ta per per­me­t­tere al Cliente di cer­care un’or­di­nan­za di pro­tezione o altro rime­dio appro­pri­a­to, a meno che Work­sec­tion sia legal­mente impedi­ta a farlo.

2.9. Per­son­ale di Work­sec­tion. Work­sec­tion limi­ta il pro­prio per­son­ale dal­l’e­lab­o­razione dei Dati del Cliente sen­za autor­iz­zazione da parte di Work­sec­tion. Work­sec­tion impone obb­lighi con­trat­tuali appro­priati al pro­prio per­son­ale, inclusi obb­lighi per­ti­nen­ti riguar­do alla ris­er­vatez­za, alla pro­tezione dei dati e alla sicurez­za dei dati.

2.10. Con­trol­li del Cliente. Work­sec­tion mette a dis­po­sizione un numero di fun­zion­al­ità e carat­ter­is­tiche di sicurez­za che il Cliente può scegliere di uti­liz­zare. Il Cliente è respon­s­abile di (a) con­fig­u­rare cor­ret­ta­mente i Servizi, (b) uti­liz­zare i con­trol­li disponi­bili in relazione ai Servizi (inclusi i con­trol­li di sicurez­za), e © adottare mis­ure che il Cliente con­sid­era adeguate per man­tenere la sicurez­za, la pro­tezione, la can­cel­lazione e il back­up dei Dati del Cliente, che pos­sono includ­ere l’u­so del­la tec­nolo­gia di crit­tografia per pro­teggere i Dati del Cliente da acces­si non autor­iz­za­ti e l’archivi­azione routi­nar­ia dei Dati del Cliente.

3.1. Trasfer­i­men­ti dal­l’EEA e dal­la Svizzera ver­so pae­si che offrono un adegua­to liv­el­lo di pro­tezione dei dati. I Dati per­son­ali pos­sono essere trasfer­i­ti dagli Sta­ti mem­bri del­l’UE, Norve­g­ia, Liecht­en­stein e Islan­da (col­let­ti­va­mente “EEA”), e Svizzera, a pae­si che offrono un adegua­to liv­el­lo di pro­tezione dei dati ai sen­si delle deci­sioni di adeguatez­za pub­bli­cate dalle autorità di pro­tezione dei dati com­pe­ten­ti del­l’EEA, del­l’U­nione Euro­pea, degli Sta­ti mem­bri o del­la Com­mis­sione euro­pea, o del­la Svizzera, come ril­e­vante (“Deci­sioni di adeguatez­za”), come applic­a­bile, sen­za che siano nec­es­sarie ulte­ri­ori garanzie.

3.2. Trasfer­i­men­ti ver­so altri pae­si. Se il trat­ta­men­to dei Dati per­son­ali da parte di Work­sec­tion include trasfer­i­men­ti (sia diret­ta­mente che tramite trasfer­i­men­to suc­ces­si­vo) dal­l’EEA o dal­la Svizzera a pae­si che non sono sta­ti ogget­to di una ril­e­vante Deci­sione di adeguatez­za, e tali trasfer­i­men­ti non ven­gono effet­tuati tramite un mec­ca­n­is­mo di con­for­mità riconosci­u­to alter­na­ti­vo come potrebbe essere adot­ta­to da Work­sec­tion per il trasfer­i­men­to legit­ti­mo di dati per­son­ali (come defini­to nel GDPR) al di fuori del­l’EEA o del­la Svizzera, come applic­a­bile, allo­ra si applicher­an­no le “Clau­sole con­trat­tuali stan­dard del 2021” (come approva­to dal­la Com­mis­sione euro­pea nel­la deci­sione di attuazione (UE) ²⁰²¹⁄₉₁₄) e gli alle­gati e appen­di­ci correlati.

Work­sec­tion imple­menterà mis­ure tec­niche e orga­niz­za­tive per pro­teggere i Dati del Cliente con­tro la dis­truzione acci­den­tale o ille­gale o la perdi­ta acci­den­tale, la mod­i­fi­ca, il trat­ta­men­to non autor­iz­za­to, la divul­gazione e l’ac­ces­so, che sono richi­este dal­la legge applic­a­bile. Work­sec­tion man­ter­rà un pro­gram­ma di sicurez­za delle infor­mazioni (inclusa l’adozione e l’ap­pli­cazione di politiche e pro­ce­dure interne) prog­et­ta­to per (a) aiutare il Cliente a pro­teggere i Dati del Cliente con­tro la perdi­ta, l’accesso o la divul­gazione acci­den­tali o ille­gali, (b) iden­ti­fi­care rischi ragionevol­mente preved­i­bili e interni per la sicurez­za e l’ac­ces­so non autor­iz­za­to a Work­sec­tion, e © min­i­miz­zare i rischi per la sicurez­za, inclusi attra­ver­so la val­u­tazione dei rischi e test rego­lari. Work­sec­tion des­igna uno o più dipen­den­ti per coor­dinare e essere respon­s­abili del pro­gram­ma di sicurez­za delle infor­mazioni. Il pro­gram­ma di sicurez­za delle infor­mazioni includ­erà mis­ure rel­a­tive alla sicurez­za del­la rete e fisi­ca e sarà revi­sion­a­to peri­odica­mente da Work­sec­tion per deter­minare se ulte­ri­ori o diverse mis­ure di sicurez­za siano richi­este per rispon­dere a nuovi rischi per la sicurez­za o a risul­tati generati dalle revi­sioni peri­odiche. Se il Cliente desidera che Work­sec­tion pren­da ulte­ri­ori mis­ure, Work­sec­tion lo farà entro un ragionev­ole lim­ite, ma even­tu­ali costi aggiun­tivi saran­no a cari­co del Cliente. Il Cliente con­fer­ma che con­sid­era le mis­ure delin­eate nel­l’Al­le­ga­to 2 come sal­va­guardie tec­niche e orga­niz­za­tive appro­pri­ate in relazione al trat­ta­men­to dei dati personali.

Il Cliente è l’u­ni­co respon­s­abile per la revi­sione delle infor­mazioni messe a dis­po­sizione da Work­sec­tion rel­a­tive alla sicurez­za dei dati e per fare una deter­mi­nazione indipen­dente su se i Servizi sod­dis­fi­no i req­ui­si­ti del Cliente, e per garan­tire che il per­son­ale e i con­sulen­ti del Cliente seguano le linee gui­da for­nite riguar­do alla sicurez­za dei dati.

Su richi­es­ta del Cliente e durante l’o­rario lavo­ra­ti­vo rego­lare, Work­sec­tion sot­to­por­rà le pro­prie strut­ture di trat­ta­men­to dei dati a audit delle attiv­ità di trat­ta­men­to cop­erte dal­l’Al­le­ga­to che saran­no ese­gui­ti dal Cliente a spese del Cliente.

7.1. Se Work­sec­tion diven­ta a conoscen­za di (a) qual­si­asi acces­so ille­gale a dati del Cliente mem­o­riz­za­ti sulle attrez­za­ture di Work­sec­tion o nelle strut­ture di Work­sec­tion; o (b) qual­si­asi acces­so non autor­iz­za­to a tali attrez­za­ture o strut­ture, dove in entram­bi i casi tale acces­so com­por­ta perdi­ta, divul­gazione o alter­azione dei Dati del Cliente (cias­cun “Inci­dente di sicurez­za”), Work­sec­tion provved­erà pronta­mente a: (a) noti­fi­care al Cliente l’In­ci­dente di sicurez­za; e (b) pren­dere mis­ure ragionevoli per mit­i­gare gli effet­ti e min­i­miz­zare qual­si­asi dan­no derivante dal­l’In­ci­dente di sicurezza.

7.2. Il Cliente con­cor­da che:

(i) un Inci­dente di sicurez­za non rius­ci­to non sarà sogget­to a ques­ta Sezione. Un Inci­dente di sicurez­za non rius­ci­to è quel­lo che non com­por­ta acces­so non autor­iz­za­to ai Dati del Cliente o a nes­suna delle attrez­za­ture o strut­ture di Work­sec­tion che mem­o­riz­zano i Dati del Cliente e può includ­ere, sen­za lim­i­tazioni, ping e altri attac­chi broad­cast su fire­wall o serv­er ed edge, scan­sioni di porte, ten­ta­tivi di acces­so non rius­ci­ti, attac­chi di negazione di servizio, sniff­ing di pac­chet­ti (o altro acces­so non autor­iz­za­to ai dati di traf­fi­co che non com­por­ta acces­so oltre gli ind­i­rizzi IP o le intes­tazioni) o inci­den­ti sim­ili; e

(ii) L’ob­bli­go di Work­sec­tion di riferire o rispon­dere a un Inci­dente di sicurez­za ai sen­si di ques­ta Sezione non è e non sarà inter­pre­ta­to come un riconosci­men­to da parte di Work­sec­tion di alcu­na col­pa o respon­s­abil­ità in relazione all’In­ci­dente di sicurezza.

7.3. Noti­fi­ca degli Inci­den­ti di sicurez­za, se pre­sen­ti, sarà con­seg­na­ta a uno o più ammin­is­tra­tori del Cliente con qual­si­asi mez­zo scel­to da Work­sec­tion, inclu­so tramite email. È esclu­si­va respon­s­abil­ità del Cliente garan­tire che gli ammin­is­tra­tori del Cliente man­tengano infor­mazioni di con­tat­to accu­rate pres­so Work­sec­tion in ogni momento.

8.1. Sot­to-respon­s­abili autor­iz­za­ti. Il Cliente con­cor­da che Work­sec­tion pos­sa uti­liz­zare sot­to-respon­s­abili per adem­piere ai pro­pri obb­lighi con­trat­tuali ai sen­si di questo Alle­ga­to o per fornire deter­mi­nati servizi per suo con­to, come la for­ni­tu­ra di servizi di sup­por­to. Work­sec­tion mantiene un elen­co di sot­to-respon­s­abili sul pro­prio sito web worksection.com/en/agreement.html. Work­sec­tion noti­ficherà al Cliente even­tu­ali cam­bi­a­men­ti pre­visti riguardan­ti l’ag­giun­ta o la sos­ti­tuzione di sot­to-respon­s­abili, ai quali il Cliente potrà oppor­si. Il Cliente è infor­ma­to quan­do Work­sec­tion aggior­na l’e­len­co dei sot­to-respon­s­abili sul pro­prio sito web. Se il Cliente non ha pre­sen­ta­to obiezioni entro trenta (30) giorni dal­la data di ricezione del­la notifica/data di aggior­na­men­to sul sito web, si pre­sume che il Cliente non abbia soll­e­va­to obiezioni. In caso di obiezione da parte del Cliente, Work­sec­tion ha il dirit­to di risol­vere l’o­biezione del Cliente a dis­crezione di Work­sec­tion. Se (i) nes­suna opzione cor­ret­ti­va è ragionevol­mente disponi­bile; o (ii) le par­ti non sono state in gra­do di trovare una soluzione rec­i­p­ro­ca­mente accetta­bile, e (iii) l’o­biezione non è sta­ta risol­ta entro trenta (30) giorni dall ricezione del­l’o­biezione, cias­cu­na Parte può risol­vere i Ter­mi­ni di Servizio con effet­to immediato.

8.2. Obb­lighi del sot­to-respon­s­abile. Quan­do Work­sec­tion autor­iz­za qual­si­asi sot­to-respon­s­abile come descrit­to in ques­ta Sezione:

(i) Work­sec­tion lim­iterà l’ac­ces­so del sot­to-respon­s­abile ai Dati del Cliente solo a ciò che è nec­es­sario per man­tenere i Servizi o per fornire i Servizi al Cliente in con­for­mità ai Ter­mi­ni di Servizio e Work­sec­tion vieterà al sot­to-respon­s­abile di accedere ai Dati del Cliente per qual­si­asi altra finalità.

(ii) Work­sec­tion impor­rà obb­lighi con­trat­tuali appro­priati per iscrit­to al sot­to-respon­s­abile che non siano meno pro­tet­tivi del pre­sente Alle­ga­to, inclusi obb­lighi con­trat­tuali per­ti­nen­ti riguardan­ti la ris­er­vatez­za, la pro­tezione dei dati, la sicurez­za dei dati e dirit­ti di audit; e

(iii) Work­sec­tion rimar­rà respon­s­abile del pro­prio rispet­to degli obb­lighi di questo Alle­ga­to e per qual­si­asi atto o omis­sione del sot­to-respon­s­abile che causi a Work­sec­tion la vio­lazione di uno qual­si­asi degli obb­lighi di Work­sec­tion ai sen­si di questo Allegato.

Se i Dati del Cliente diven­tano ogget­to di con­fis­ca durante pro­ce­dure di fal­li­men­to o insol­ven­za, o mis­ure sim­ili da parte di terzi men­tre sono trat­tati da Work­sec­tion, Work­sec­tion informerà il Cliente sen­za indu­gi. Work­sec­tion noti­ficherà, sen­za indeb­ito ritar­do, tutte le par­ti ril­e­van­ti in tale azione (ad esem­pio, cred­i­tori, cura­tore fal­li­menta­re) che i Dati del Cliente ogget­to di quelle pro­ce­dure sono di pro­pri­età e respon­s­abil­ità del Cliente e che i Dati del Cliente sono a com­ple­ta dis­po­sizione del Cliente.

Alla ces­sazione del­l’Ac­cor­do e alla ces­sazione dei Servizi, a scelta del Cliente (indi­ca­ta tramite la Piattafor­ma o in comu­ni­cazione scrit­ta al Respon­s­abile), il Respon­s­abile dovrà can­cel­lare o resti­tuire al Cliente tut­ti i Dati per­son­ali che trat­ta esclu­si­va­mente per con­to del Cliente nel modo descrit­to nel­l’Ac­cor­do, e il Respon­s­abile dovrà can­cel­lare le copie esisten­ti di tali Dati per­son­ali sal­vo che le Leg­gi sul­la pro­tezione dei dati richiedano diver­sa­mente. Nel­la misura autor­iz­za­ta o richi­es­ta dal­la legge applic­a­bile, il Respon­s­abile può anche con­ser­vare una copia dei Dati per­son­ali esclu­si­va­mente per scopi pro­ba­tori e/o per l’is­ti­tuzione, eser­cizio o dife­sa di recla­mi legali e/o per la con­for­mità a obb­lighi legali.

Il Cliente può pre­sentare Dati per­son­ali al Servizio che pos­sono includ­ere, ma non sono lim­i­tati a, Dati per­son­ali rel­a­tivi alle seguen­ti cat­e­gorie di sogget­ti interessati:

● uten­ti invi­tati del Cliente

● dipen­den­ti del Cliente

● con­sulen­ti del Cliente

● agen­ti del Cliente

● con­sulen­ti del Cliente

● part­ner com­mer­ciali e for­n­i­tori del Cliente (che sono per­sone fisiche)

Qual­si­asi altro indi­vid­uo ter­zo con cui il Cliente decide di comu­ni­care attra­ver­so il Servizio.

Qual­si­asi dato per­son­ale com­pre­so nei Dati del Cliente, ovvero Dati per­son­ali car­i­cati dal Cliente sui Servizi nel­l’am­bito dei pro­pri account di Work­sec­tion o altri­men­ti trat­tati da Work­sec­tion per con­to del Cliente, in con­nes­sione con l’u­so dei Servizi da parte del Cliente.

Il Cliente riconosce e com­prende che i Servizi sono uti­liz­za­ti per la col­lab­o­razione e la piani­fi­cazione e che non sono prog­et­tati per il trat­ta­men­to di cat­e­gorie spe­ciali di dati personali.

Fat­ta sal­va qual­si­asi Sezione del DPA e/o del­l’Ac­cor­do che trat­ta del­la dura­ta del trat­ta­men­to e delle con­seguen­ze del­la sca­den­za o ces­sazione del­la stes­sa, Work­sec­tion trat­terà i Dati per­son­ali ai sen­si del DPA e del­l’Ac­cor­do per la dura­ta del­l’Ac­cor­do, sal­vo diver­so accor­do per iscrit­to. Il Cliente elim­in­erà i Dati per­son­ali car­i­cati sui Servizi, in con­for­mità con le pro­prie politiche di conservazione.

Il trat­ta­men­to ha luo­go in modo con­tin­uo, man mano che il Cliente si avvale dei Servizi.

I dati per­son­ali pos­sono essere sogget­ti alle seguen­ti attiv­ità di trattamento:

● archivi­azione e altre elab­o­razioni nec­es­sarie per fornire, man­tenere e miglio­rare i Servizi for­ni­ti all’E­s­porta­tore di dati;

● fornire sup­por­to cli­en­ti e tec­ni­co all’E­s­porta­tore di dati;

● divul­gazioni in con­for­mità all’Ac­cor­do, come impos­to dal­la legge.

I sot­to-respon­s­abili sono coin­volti da Work­sec­tion per anal­isi web, ERP, anal­isi dei dati dei cli­en­ti, sup­por­to cli­en­ti, serv­er e host­ing, e fun­zion­al­ità email.

Work­sec­tion mantiene i dati dei cli­en­ti crip­tati a riposo uti­liz­zan­do una forza di cifratu­ra equiv­a­lente a 256 bit di crit­tografia sim­met­ri­ca o supe­ri­ore. I dati sono crip­tati in tran­si­to uti­liz­zan­do TLS 1.2 o ver­sioni successive.

L’in­fra­strut­tura per i servizi di Work­sec­tion si estende in più data cen­ter in diver­si pae­si del­l’UE e in Ucraina.

Work­sec­tion esegue il back­up dei dati dei cli­en­ti in tem­po reale. I back­up sono con­ser­vati in modo ridon­dante in più data cen­ter e sono crip­tati in tran­si­to e a riposo con cifrature stan­dard di set­tore con forza di cifratu­ra equiv­a­lente a 256 bit di crit­tografia simmetrica.

Work­sec­tion mantiene un pro­gram­ma di sicurez­za basato sug­li stan­dard ISO 27001. Questo include sal­va­guardie ammin­is­tra­tive, orga­niz­za­tive, tec­niche e fisiche prog­et­tate per pro­teggere la ris­er­vatez­za, l’in­tegrità e la disponi­bil­ità dei dati dei cli­en­ti. Work­sec­tion esegue reazioni annu­ali di appli­cazioni indipen­den­ti e test di pen­e­trazione di rete.

Il per­son­ale di Work­sec­tion è tenu­to a uti­liz­zare cre­den­ziali utente uniche e seg­rete per l’autenticazione.

I dati dei cli­en­ti sono crip­tati con crit­tografia TLS 1.2 o ver­sioni suc­ces­sive durante la trasmis­sione tra il cliente e Work­sec­tion e anche inter­na­mente tra i sis­te­mi di Worksection.

I dati dei cli­en­ti sono mem­o­riz­za­ti in for­ma crit­tografa­ta uti­liz­zan­do cifrature sim­met­riche stan­dard di set­tore da 256 bit.

Work­sec­tion appli­ca gli stan­dard del Ciclo di vita del­lo svilup­po soft­ware sicuro (Secure SDLC) per svol­gere numerose attiv­ità legate alla sicurez­za per i Servizi in diverse fasi del ciclo di vita di creazione del prodot­to, dal­la rac­col­ta dei req­ui­si­ti e prog­et­tazione del prodot­to fino al deploy­ment del prodot­to. Queste attiv­ità includono, ma non sono lim­i­tate a, l’ese­cuzione di (a) revi­sioni interne di sicurez­za pri­ma che nuovi servizi vengano imple­men­tati; (b) test di pen­e­trazione annu­ali da parte di terze par­ti indipen­den­ti; e © mod­el­li di minac­ce per nuovi servizi per ril­e­vare even­tu­ali poten­ziali prob­le­mi di sicurezza.