4°. PEDOSLESI i PETMIDIVIOOA POZZUOLI Prot. N.SBIG.T Ate ‘Contratti Mea] dei Prodotti «evel sia Microsoft Ultimo Aggiornamento: 15 settembre 2022 E Microsoft | Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft {Italiano, Ultimo Aggiomamento: 15 settembre 2022) 2 Sommario INTRODUZIONE Impegno di Riservatezza del Responsabile del Trattamento. Comunicazione e Controlli relativi all'impiego di Sub-Responsabili del Condizioni e Aggiornamenti dell’Addendum Applicabili Trattamento Comunicazioni in Formato [omissis] Versioni Precedenti Contratto della Società per CJIS Società in Affarl HIPPA California Consumer Privacy Act (CCPA] CONDIZIONI [omissis] Servizi Professionali Supplementa Conformità alle Leggi Come Contattare [omissis] .........». 5 APPENDICE _86_ [omissis] ........... sassesoseaszonszcenizssnn0d@ [omissis] APPENDICE B - INTERESSATI E CATEGORIE DI DATI PERSONALI.....17 Natura del Trattamento dei Dai Comunicazione dei Dati Trattati APPENDICE € - ADDENDUM RELATIVO ALLE MISURE DI SICUREZZA Trattamento dei Dati Personali; AGGIUNTIVI Sicurezza dei Dati... Comunicazione di Eventi Imprevisti relativi alla Prot: ALLEGATO 1: CONDIZIONI DEL REGOLAMENTO GENERALE Trasferimenti e Posizione dei D: DELL'UNIONE EUROPEA SULLA PROTEZIONE DEI DATI Conservazione ed Eliminazione dei Da Sommario > Introduzione > Condizioni Generali > Condidoniperia Protezione Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 3 Introduzione Le parti accettano che il presente Addendum relativo alia Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft {“Addendum”) stabilisca le rispettive obbligazioni in merito al trattamento e alla protezione dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali in relazione ai Prodotti e ai Servizi. L'Addendum è incorporato nelle Condizioni per l'Utilizzo dei Prodotti e in altri contratti Microsoft in virtù di questo riferimento. Le parti accettano inoltre che, fatta salva l’esistenza di un contratto separato peri [omissis] presente [omissis] trattamento e fa sicurezza dei Dati dei Servizi Professionali. L'utilizzo di Prodotti Non Microsoft da parte della Società è disciplinato da condizioni specifiche, che includono condizioni relative al diritto alla protezione dei dati personali e alla sicurezza diverse. Nell’eventualità di discrepanze o incoerenze tra le Condizioni dell’Addendum e qualsiasi altra condizione del contratto multilicenza della Società, le Condizioni dell’Addendum avranno prevalenza. Le disposizioni delle Condizioni dell’Addendum hanno prevalenza su eventuali altre disposizioni discrepanti definite nell'Informativa sulla Privacy di Microsoft che potrebbero în altro modo essere applicate al trattamento dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali secondo ta definizione fornita nel presente documento. Microsoft rende effettivi gli impegni presi nel presente Addendum per tutte le società con contratti multilicenza. Tali impegni vincolano Microsoft nei confronti della Società indipendentemente (1) dalle Condizioni per l'Utilizzo dei Prodotti che sono comunque applicabili a qualsiasi licenza 0 sottoscrizione specifica dei Prodotti o (2) da qualsiasi altro contratto che faccia riferimento alle Condizioni per l'Utilizzo dei Prodotti. Condizioni e Aggiornamenti dell’Addendum Applicabili Limitazioni relative agli [omissis] Società rinnova o acquista una nuova sottoscrizione di un Prodotto o stipula un ordine di lavoro per un Servizio Professionale, sì applicano le Condizioni dell'Addendum in vigore in quel momento, che nen cambieranno nel corso della sottoscrizione dei suddetto Prodotto o durante il periodo di validità del Servizio Professionale interessato. Quando la Società ottiene una licenza perpetua per il Software, si applicheranno le Condizioni dell’Addendum in vigore in quel momento (in conformità alla stessa disposizione per la determinazione delle Condizioni per l'Utilizzo dei Prodotti in vigore in quel momento e applicabili a tale Software nel contratto multilicenza della Società) e non cambieranno durante il periodo di validità della licenza della Società per tale Software. Funzionalità, Supplementi o Prodotti Software Correlati Nuovi Nonostante le suddette limitazioni relative agli aggiornamenti, quando Microsoft presenta funzionalità, offerte, supplementi o prodotti software correlati nuovi (vale a dire non precedentemente inclusi nei Prodotti o Servizi), potrà fornire condizioni o effettuare aggiornamenti all’Addendum che sì applicano all’utilizzo da parte della Società di tali funzionalità, offerte, supplementi o prodotti software correlati nuovi. Qualora tali condizioni includano modifiche sostanziali sfavorevoli alle Condizioni dell’Addendum, Microsoft darà alla Società la possibilità di utilizzare funzionalità, offerte, supplementi o prodotti software correlati nuovi, senza perdere la funzionalità esistente di un Prodotto o Servizio Professionale già disponibile sul mercato. Qualora la Socîetà non installi né utilizzi le funzionalità, le offerte, i supplementi o i prodotti software correlati nuovi, le nuove condizioni corrispondenti non si applicheranno. Regolamento e Requisiti per gli Enti Pubblici Nonostante le suddette limitazioni relative agli aggiornamenti, Microsoft potrà modificare 0 interrompere un Prodotto o un Servizio Professionale in qualsiasi paese o giurisdizione in cui esista un’obbligazione o un requisito di legge corrente o futuro che (1) assoggetti Microsoft a regolamenti o requisiti che a livello generale non trovano applicazione nei confronti delle aziende che operano in tale paese, (2) renda difficile per Microsoft continuare a gestire il Prodotto o a offrire il Servizio Professionale senza apportarvi modifiche e/o (3) faccia ritenere a Microsoft che il Prodotto o il Servizio Professionale o le Condizioni dell’Addendum possano essere in discrepanza con tali obbligazioni o requisiti. Comunicazioni in Formato Elettronico Microsoft potrà fornire alla Società informazioni e comunicazioni în formato elettronico sui Prodotti e i Servizi, ad esempio tramite e-mail, il portale di un Servizio Online o un sito Web che Microsoft avrà cura di segnalare. Le comunicazioni vengono trasmesse da Microsoft a partire dalla data in cui sono disponibili. Versioni Precedenti Le Condizioni dell’Addendum definiscono le condizioni applicabili ai Prodotti e ai Servizi attualmente disponibili. Per le versioni precedenti delle [omissis] Società potrà fare riferimento alla pagina https://aka.ms/licensingdocs o contattare il rivenditore o l’Account Manager designato da Microsoft. Sarno Y Corhpissi Generali si M a T Condizioni per la Protezione ; Sommario > fusi. 3 Condizioni Generali ei Dati Personali d Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 4 Definizioni I termini in maiuscolo utilizzati, ma non definiti, nel presente Addendum relativo alla Protezione dei Dati Personali avranno il significato attribuito loro nel contratto multilicenza. Nel presente Addendum vengono utilizzate le seguenti definizioni: “Dati della Società” indica tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software forniti a Microsoft dalla o per conto della Società tramite l'utilizzo dei Servizi Online. | Dati della Società non includono i Dati dei Servizi Professionali. “Requisiti Relativi alla Protezione dei Dati Personali” indica il GDPR, le Leggi in materia di Protezione dei Dati Personali UE/SEE Locali, qualsiasi legge eregolamento applicabile e altri requisiti legali relativi (a) al diritto alla protezione dei dati personali e alla sicurezza dei dati e (b) all'utilizzo, alla raccolta, alla conservazione, all’archiviazione, alla sicurezza, alla divulgazione, al trasferimento, allo smaltimento e ad altro tipo di trattamento dei Dati Personali. “Condizioni dell’Addendum” indica le condizioni disponibili nell’Addendum e le condizioni specifiche per Prodotto contenute nelle Condizioni per l’Utilizzo dei Prodotti che integrano 0 modificano espressamente le condizioni relative al diritto alla protezione dei dati personali e alla sicurezza riportate nell’Addendum per un Prodotto specifico (o una funzionalità di un Prodotto). Nell’eventualità di discrepanze o incoerenze tra l’Addendum e tali condizioni specifiche per Prodotto, queste ultime avranno prevalenza per quanto riguarda il Prodotto applicabile (o la funzionalità di tale Prodotto). “Regolamento Generale sulla Protezione dei Dati” o “GDPR” indica il Regolamento {UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE. “Leggi in materia di Protezione dei Dati Personali UE/SEE Locali” indica qualsiasi legislazione subordinata e regolamento di attuazione del GDPR. “Condizioni del GDPR” indica le condizioni contenute nell'Allegato 1, ai sensi delle quali Microsoft si assume impegni vincolanti relativamente al trattamento da parte sua dei Dati Personali, in base a quanto stabilito dall’Articolo 28 del GDPR. “Dati Personali” indica qualsiasi dato relativo a una persona fisica identificata o identificabile. Si considera identificabile una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. “Prodotto” ha il significato definito nel contratto multilicenza. Allo scopo di facilitare la consultazione, “Prodotto” include i Servizi Online e il Software, ciascuno secondo la definizione fornita nel contratto multilicenza. “Prodotti e Servizi” indica i Prodotti e i Servizi Professionali. La disponibilità dei Prodotti e dei Servizi Professionali potrà variare in base all'area geografica e l'applicabilità del presente Addendum a Prodotti e Servizi Professionali specifici è soggetta alle limitazioni riportate nell'Articolo Ambito di Validità del presente Addendum. “Servizi Professionali” indica i seguenti servizi: (a) servizi di consulenza di Microsoft, che consistono in servizi di pianificazione, supporto, consulenza, migrazione dei dati, distribuzione e sviluppo di soluzioni/software forniti ai sensi di un Ordine di Lavoro peri Servizi Enterprise di Microsoft o di un contratto Cloud Workload Acceleration Agreement in cui il presente Addendum è incorporato in virtù di questo riferimento e {b) servizi di supporto tecnico forniti da Microsoft per aiutare le società a individuare e risolvere le problematiche che riguardano i Prodotti, incluso il supporto tecnico erogato nell’ambito dei Servizi Microsoft Unified Support o dei Servizi di Supporto Tecnico Premier e qualsiasi altro servizio di supporto tecnico commerciale. | Servizi Professionali non includono i Prodotti 0, solo ai fini dell’interpretazione dell’Addendum, i Servizi Professionali Supplementari. “Dati dei Servizi Professionali” indica tutti i dati, inclusi tutti i file di testo, audio, video, immagine o software, che vengono forniti a Microsoft dalla o per conto di una Società (o che la Società autorizza Microsoft a ottenere da un Prodotto) oppure in altro modo ricevuti o trattati da e per conto di Microsoft attraverso un impegno con Microsoft per ottenere i Servizi Professionali. “Clausole Contrattuali Tipo 2021” indica le clausole tipo di protezione dei dati personali (modulo da responsabile del trattamento a responsabile del trattamento) che si applicano tra Microsoft Ireland Operations Limited e Microsoft Corporation per il trasferimento dei dati personali daì responsabili del trattamento nello Spazio Economico Europeo ai responsabili del trattamento con sede in paesi terzi che non garantiscono un adeguato livello di protezione dei dati personali, come descritto ali’Articolo 46 del GDPR e approvato dalla Commissione Europea con la decisione 2021/914/CE del 4 giugno 2021. “Sub-Responsabile del Trattamento” indica altri responsabili del trattamento utilizzati da Microsoft per trattare i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali, come descritto all’Articolo 28 del GDPR. “Servizi Professionali Supplementari” indica richieste di supporto tecnico di cui è stata effettuata l’escalation dal team di supporto tecnico a un team di progettazione del Prodotto per la risoluzione e altri servizi di consulenza e supporto tecnico di Microsoft erogati unitamente a un contratto multilicenza o a Prodotti che non sono inclusi nella definizione di Servizi Professionali. | termini in lettere minuscole utilizzati, ma non definiti nel presente Addendum, ad esempio “violazione dei dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “profiling”, “dati personali” e “interessato” avranno la stessa accezione attribuita nell’Articolo 4 del GDPR, anche se quest’ultimo non è applicabile. ” È Condizionini Genera di 3 Condizioni per Condizioni er lala Protezione Protezione Sommario 3 Introduzione È dei Dati Personali Addendum relativo alla Protezione dei Datì Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 5 Condizioni Generali Conformità alle Leggi Microsoft si atterrà a tutte le leggi e a tutti i regolamenti applicabili all'erogazione dei Prodotti e dei Servizi, tra cui la legge applicabile in materia di notifica dell'inadempimento delle obbligazioni di protezione e i Requisiti Relativi alla Protezione dei Dati Personali. Microsoft non è tuttavia responsabile della conformità alle leggi o ai regotamenti applicabili alla Società o al settore di appartenenza della Società che non sianoa livello generale applicabili ai provider di servizi informatici. Microsoft non determina se i dati della Società includono dati soggetti a leggi o regolamenti specifici. Tutti gli Eventi Imprevisti relativi alla Protezione sono soggetti alle condizioni previste nella Comunicazione di Eventi Imprevisti relativi alla Protezione che segue. La Società dovrà conformarsi a tutte le leggi e a tutti ì regolamenti applicabili relativamente all'utilizzo di Prodotti e Servizi, tra cui le leggi in materia di dati biometrici, riservatezza delle comunicazioni e i Requisiti Relativi alla Protezione dei Dati Personali. La Società ha la responsabilità di stabilire se i Prodotti e i Servizi sono appropriati per l'archiviazione e il trattamento di dati soggetti a leggi o regolamenti specifici e di utilizzarei Prodoiti e i Servizi conformemente agli obblighi di leggge e alla normativa applicabile alla Società. La Società ha la responsabilità di rispondere alle richieste formulate da terzi in merito all’utilizzo dei Prodotti e dei Servizi, ad esempio alla richiesta di rimuovere il contenuto ai sensi del Digital Millennium Copyright Act degli Stati Uniti o di altre ieggi applicabili. Condizioni per la Protezione dei Dati Personali Nel presente Articolo dell’Addendum sono inclusi i seguenti sottoparagrafi: e Ambitodi Validità e Istituti Didattici e Natura del Trattamento dei Dati; Titolarità è Contratto della Società per CIIS e Divulgazione dei Dati Trattati ® Società in Affari HIPPA e Trattamento dei Dati Personali; GDPR e California Consumer Privacy Act (CCPA) ® Sicurezza dei Dati e DatiBiometrici e Comunicazione di Eventi Imprevisti relativi alla Protezione e Servizi Professionali Supplementari e Trasferimentie Posizione dei Dati e ComeContattare Microsoft e Conservazione ed Eliminazione dei Dati e AppendiceA. Misure di Sicurezza e ImpegnodiRiservatezza del Responsabile del Trattamento e Appendice B-Interessati e Categorie di Dati Personali ® = Comunicazione e Controlli relativi all’Impiego di Sub- e AppendiceC-Addendum relativo alle Misure di Sicurezza Responsabili del Trattamento Aggiuntive. Ambito di Validità Le Condizioni dell’Addendum si applicano a tutti i Prodotti e i Servizi, ad eccezione di quelli descritti nel presente Articolo. Le Condizioni dell’Addendum non si applicheranno ai Prodotti specificatamente indicati come esclusi, o nella misura in cui sono indicati come esclusi, nelle Condizioni per l'Utilizzo dei Prodotti, che sono disciplinati dalle condizioni relative al diritto alla protezione dei dati personali e alla sicurezza nelle condizioni applicabili specifiche per Prodotto. Per maggiore chiarezza, le Condizioni dell’Addendum si applicano solo al trattamento dei dati in ambienti controliati da Microsoft e da Sub- Responsabili del Trattamento di Microsoft. Sono inclusi i dati inviati a Microsoft dai Prodotti e dai Servizi, ma non i dati che rimangono nei locali della Società o in alcuni ambienti operativi di terzi della Società. Per i Servizi Professionali Supplementari, Microsoft si assume solo gli impegni indicati all’Articolo Servizi Professionali Supplementari che segue. Le Anteprime potranno adottare misure di protezione dei dati personali e di sicurezza minori o differenti rispetto a quelle in genere presenti nei sono soggetti a requisiti di conformità alla legge e ai regolamenti. Per quanto riguarda i Prodotti, le seguenti condizioni del presente Addendum non si applicano alle Anteprime: Trattamento dei Dati Personali; GDPR, Sicurezza dei Dati e Società in Affari HIPPA. Per quanto riguarda i Servizi Professionali, le offerte designate come Anteprime o Versione Limitata sono conformi solo alle condizioni dei Servizi Professionali Supplementari. Natura del Trattamento dei Dati; Titolarità Microsoft utilizzerà e tratterà i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali secondo quanto descritto e ai sensi delle limitazioni indicate di seguito {a) per fornire alla Società i Prodotti e i Servizi in conformità alle istruzioni documentate della Società e (b) per le attività aziendali connesse all'erogazione dei Prodotti e dei Servizi alia Società. Per ciò che concerne le parti, la Società conserva tutti idiritti, la titolarità e gli interessi relativi ai Dati della Società e ai Dati dei Servizi Professionali. Riguardo ai Dati della Società e ai Dati dei Servizi Professionali Microsoft non acquisisce alcun diritto, fatti salvi i diritti che la Società le concede nel presente Articolo. Il presente paragrafo non riguarda i diritti di Microsoft relativi al software o aì servizi che Microsoft concede in licenza alla Società. n n Lio N Condizioni per la Protezione Sommario Introduzione > Condizioni Generpli > dei Dati Personali è Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft {Italiano, Ultimo Aggiornamento: 15 settembre 2022) 6 Trattamento per laFornitura alla Società dei Prodotti e dei Servizi Ai fini del presente Addendum, la“fornitura” di un Prodotto include le seguenti attività: e offertadifunzionalità concesse in licenza, configurate e usate dalla Società e dai relativi utenti, incluse esperienze utente personalizzate; e risoluzione dei problemi {prevenzione, rilevamento e correzione di problemi) e ® aggiornamento continuo e mantenimento delle prestazioni dei Prodotti, nonché miglioramento della produttività, dell’affidabilità, dell'efficacia, della qualità e della sicurezza dell'utente. Ai fini dell’interpretazione del presente Addendum, la“fornitura” dei Servizi Professionali include le seguenti attività: e erogazione dei Servizi Professionali, inclusi servizi di supporto tecnico e servizi professionali di pianificazione, consulenza, migrazione dei dati, deployment e sviluppo di soluzioni/software; e risoluzione dei problemi (prevenzione, rilevamento, indagine, mitigazione e correzione di problemi, inclusi Eventi Imprevisti relativi alla Protezione e problemi individuati nei Servizi Professionali o nei refativi Prodotti durante l'erogazione dei Servizi Professionali) e ® miglioramento dell'erogazione, dell'efficacia, della qualità e della sicurezza dei Servizi Professionali e dei Prodotti sottostanti in base ai problemi identificati durante l'erogazione dei Servizi Professionali, tra cui la correzione di difetti del software e comunque l'aggiornamento continuo e il mantenimento delle prestazioni dei Prodotti e dei Servizi. In ogni caso, la fornitura dei Prodotti e dei Servizi avviene nel rispetto delle obbligazioni di sicurezza previste dai Requisiti di Protezione dei Dati Personali. Nell'ambito della fornitura di Prodotti e Servizi, Microsoft non utilizzerà né tratterà in altro modo i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali per: (a) profilazione degli utenti, {b) fini pubblicitari o commerciali né per {c) ricerche di mercato con lo scopo di creare nuove funzionalità, servizi o prodotti o per qualsiasi altro scopo, a meno che tale utilizzo o trattamento sia in conformità alle istruzioni documentate della Società. Trattamento per Attività Aziendali connesse alla Fornitura dei Prodotti e dei Servizi alla Società Ai fini dell’interpretazione del presente Addendum, “attività aziendali” indica i trattamenti autorizzati dalla Società nel presente Articolo. La Società autorizza Microsoft: (i.) a creare dati statistici aggregati, non personali da dati contenenti identificatori pseudonomizzati (come log sull'utilizzo contenenti identificatori pseudonomizzati univoci) e (ii.) acalcolare statistiche correlate ai Dati della Società o ai Dati dei Servizi Professionali in ciascun caso senza accedere o analizzare il contenuto dei Dati della Società o dei Dati dei Servizi Professionali e limitatamente al raggiungimento degli scopi indicati di seguito, ciascuno dei quali è connesso all'erogazione dei Prodotti e dei Servizi alla Società. Tali scopi sono: «e gestioneaccounte fatturazioni; e compenso, ad esempio calcolo delle commissioni dei dipendenti e degli incentivi peri partner; e creazionedireporte modelli aziendali interni, ad esempio previsioni, ricavi, pianificazione delle capacità, strategia dei prodotti e e reporting finanziario. Durante il trattamento ai fini delle suddette attività aziendali Microsoft applicherà i principi della minimizzazione dei dati e non utilizzerà né in altro modo tratterà i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali per: (a) profilazione degli utenti, (b) fini pubblicitari o commerciali analoghi né per {c) altri scopi che non siano quelli stabiliti nel presente Articolo. Inoltre, come per tutti i trattamenti previsti dal presente Addendum, il trattamento dei dati per le attività aziendali rimane soggetto alle obbligazioni e agli impegni di riservatezza di Microsoft ai sensi della disposizione “Comunicazione dei Dati Trattati”. Comunicazione dei Dati Trattati Microsoft non comunicherà né consentirà l’accesso ai Dati Trattati tranne nel caso in cui ciò sia: (1) consentito dalla Società, (2) conforme a quanto descritto nell’Addendum o (3) previsto dalla legge. Ai fini dell’interpretazione del presente Articolo, “Dati Trattati” indica: (a) Dati della Società, {b) Dati dei Servizi Professionali, {c}) Dati Personali e (d} altri dati trattati da Microsoft in relazione ai Prodotti e ai Servizi che sono informazioni riservate della Società ai sensi del contratto multilicenza. Tutte le operazioni relative ai Dati Trattati sono soggette all’obbligazione di riservatezza Microsoft ai sensi del contratto multilicenza. Microsoft non comunicherà i Dati Trattati né fornirà l’accesso ad essi alle autorità giudiziarie o di polizia se non nei casi previsti dalla legge. Qualora le autorità giudiziarie o di polizia dovessero richiedere a Microsofti Dati Trattati, Microsoft tenterà di reindirizzare tali autorità alla Società stessa per la comunicazione diretta di tali dati. Nel caso in cui sia costretta a divulgarei Dati Trattati o a consentirne l’accesso alle autorità giudiziarie a di polizia, Microsoft ne darà immediata comunicazione alla Società e le fornirà una copia della richiesta, salvo disposizioni di legge contrarie. Microsoft comunicherà o fornirà l’accesso solo ai Dati Trattati in conformità a quanto previsto dalla legge, purché la legislazione e le prassi rispettino l'essenza dei diritti e delle libertà fondamentali e non vadano oltre quanto necessario e proporzionato in una società democratica per sissi 3 Sommario 3 Introduzione 3 Condizioni Generali > me n > Allegati Siria arena. > Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 7 salvaguardare uno degli obiettivi di cui all’Articolo 23(1) del GDPR. Nel caso in cui riceva richieste di comunicazione dei Dati Trattati da parte di terzi, Microsoft ne darà immediata comunicazione alla Società, fatto salvo che sia proibito dalla legge. Microsoft respingerà la richiesta qualora non sia tenuta per legge a soddisfarla. Qualora la richiesta sia valida, Microsoft tenterà di reindirizzare tali terzi a rivolgerla direttamente alla Società. Microsoft non fornirà ai terzi: (a) l'accesso in modo diretto, indiretto, programmato o senza restrizioni ai Dati Trattati, (b) le chiavi di crittografia della piattaforma utilizzate per la protezione dei Dati Trattati o gli strumenti per decrittografarlì né (c) alcun tipo di accesso ai Dati Trattati qualora Microsoft sia a conoscenza del fatto che tali dati vengano usati per scopi diversi da quelli definiti nella richiesta avanzata dai terzi. A sostegno di quanto sopra, Microsoft potrà fornire ai terzi le informazioni di contatto della Società. Trattamento dei Dati Personali; GDPR Tutti i Dati Personali trattati da Microsoft in relazione all'erogazione dei Prodotti e dei Servizi vengono acquisiti nell’ambito dei (a) Dati della Società, (b) Dati dei Servizi Professionali o {c) dati generati, derivati o raccolti da Microsoft, inclusi i dati inviati a Microsoft in seguito all'utilizzo da parte della Società delle funzionalità basate sui servizi o ottenute da Microsoft tramite i! software installato in locale. | Dati Personali forniti a Microsoft dalla Società, o per conto di essa, tramite l’utilizzo del Servizio Online sono anch'essi Dati della Società. | Datì Personali forniti a Microsoft dalla Società, o per conto di essa, tramite l’utilizzo dei Servizi Professionali sono anch'essi Dati dei Servizi Professionali. Gli identificatori pseudonimizzati potranno essere inclusi nei dati trattati da Microsoft in relazione all'erogazione dei Prodotti e sono anch'essi Dati Personali. | Dati Personali pseudonimizzati o privi di identificazione, ma non forniti in formato anonimo, o i Dati Personali derivati dai Dati Personali sono anche Dati Personali, Nella misura in cui Microsoft agisce come responsabile del trattamento o altro responsabile del trattamento dei Dati Personali soggetti al GDPR, le Condizioni del GDPR contenute nell'Allegato 1 disciplinano tale trattamento. Le parti accettano anche le seguenti condizioni del presente sottoparagrafo (“Trattamento dei Dati Personali; GDPR”): Ruoli e Responsabilità del Titolare e de! [omissis] Società e Microsoft accettano che la Società sia il titolare del trattamento dei Dati Personali e che Microsofît sia il responsabile del trattamento di tali dati, tranne nei casi in cui (a) la Società agisca în qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà un altro responsabile del trattamento o (b) sia diversamente indicato nelle condizioni specifiche per Prodotto o nei presente Addendum. Qualora Microsoft agisca come responsabile o altro responsabile del trattamento dei Dati Personali, tratterà i Dati Personali soltanto in conformità alle istruzioni documentate della Società. La Società accetta che il proprio contratto multilicenza, tra cui le Condizioni dell’Addendum e gli aggiornamenti applicabili, unitamente alla documentazione del prodotto e all'utilizzo e alla configurazione da parte sua delle funzionalità dei Prodotti, costituisca l'insieme completo di istruzioni documentate fornite a Microsoft per il trattamento dei Dati Personali. Lo stesso vale con la documentazione dei Servizi Professionali e l'utilizzo dei Servizi Professionali da parte delia Società. Informazioni sull'utilizzo e la configurazione dei Prodotti sono disponibili all'indirizzo https://docs.microsoft.com (o su un sito alternativo) o in un altro contratto in cui è incorporato il presente Addendum. Eventuali istruzioni aggiuntive o alternative dovranno essere concordate in conformità al processo di modifica del contratto della Società. In tutti i casi in cui si applica il GDPR e la Società è un responsabile del trattamento, la Società garantisce a Microsoft che le proprie istruzioni, inclusa la nomina di Microsoft a responsabile del trattamento o a sub-responsabile del trattamento, sono state autorizzate dal titolare del trattamento specifico. Nella misura in cui Microsoft utilizza o tratta i Dati Personali soggetti al GDPR per te attività aziendali connesse alla fornituradei Prodotti e dei Servizi alla Società, per tale uso si conformerà alle obbligazioni in qualità di titolare indipendente del trattamento dei dati previste dal GDPR. Microsoft accetta le responsabilità supplementari di “titolare del trattamento” dei dati ai sensi del GDPR per eseguire tale trattamento per: (a} agire in conformità ai requisiti normativi, nella misura stabilita nel GDPR e (b) fornire maggiore trasparenza alla Società e confermare la propria responsabilità per quanto riguarda tale trattamento. Microsoft adotta misure di sicurezza per proteggere i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali durante tale trattamento, incluse quelle indicate nel presente Addendum e quelle contemplate all’Articolo 64) del GDPR. In merito al trattamento dei Dati Personali ai sensi del presente paragrafo, Microsoft si assume gli impegni stabiliti nell’Articolo Misure dî Sicurezza Aggiuntive; per gli scopi specificati, (i) qualsiasi comunicazione da parte di Microsoft, nella modalità descritta nell’Articolo Misure di Sicurezza Aggiuntive, dei Dati Personali che sono stati trasferiti in relazione alle attività aziendali viene considerata una “Comunicazione Pertinente” e (ii) gli impegni indicati nell’Articolo Misure di Sicurezza Aggiuntive si applicano a tali Dati Personali. Dettagli sul Trattamento Le parti danno atto e accettano quanto segue: e Oggetto.L’oggetto del trattamento è limitato ai Dati Personali che rientrano nell’ambito di applicazione dell’Articolo del presente Addendum dal titolo “Natura del Trattamento; Titolarità” di cui sopra e del GDPR. e Durata del Trattamento dei Dati. La durata del trattamento sarà conforme a quanto definito dalle istruzioni della Società e dalle condizioni dell’Addendum. 45 Contirioni per ta #ratezione Sommario > Introduzione > Condizioni Generali Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento; 15 settembre 2022) 8 e NaturaeFinalità del Trattamento del Dati. La natura e la finalità del trattamento dei dati consisteranno nella fornitura i Prodotti e i Servizi ai sensi del contratto multilicenza della Società e per le attività aziendali connesse allafornitura dei Prodotti e dei Servizi alla Società in base a guanto ulteriormente indicato nel precedente Articolo del presente Addendum “Natura del Trattamento dei Dati; Titolarità”. e CategoriediDati.|tipi di Dati Personali trattati da Microsoft durante l'erogazione dei prodotti e dei Servizi includono! (i) i Dati Personali che la Società sceglie di includere nei Dati della Società e nei Dati dei Servizi Professionali e (ii) quelli espressamente indicati all’Articolo 4 del GDPR che potranno essere generati, derivati o raccolti da Microsoft, tra cui i dati inviati a Microsoft in seguito all'utilizzo delle funzionalità basate sui servizi di una Società o acquisiti da Microsoft tramite il software installato in locale. | tipi di Dati Personali che la Società sceglie di includere nei Dati della Società e nei Dati dei Servizi Professionali potranno rientrare in qualsiasi categoria di Dati Personali identificati nei record gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Articolo 30 del GDPR, incluse le categorie di Dati Personali definite nell’Appendice B. = Interessati. Le categorie di interessati sono i rappresentanti e gli utenti finali della Società, ad esempio dipendenti, appaltatori, collaboratori e clienti. Possono essere incluse altre categorie di interessati identificate nei registri gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Artico!o 30 del GDPR, incluse le categorie di interessati definite nell’Appendice B. Diritti degli interessati; Assistenza con le Richieste Microsoft metterà a disposizione della Società, conformemente alla funzionalità dei Prodotti e dei Servizi e al suo ruolo di responsabile del trattamento dei Dati Personali degli interessati, la capacità di soddisfare le loro richieste in merito all'esercizio dei loro diritti ai sensi del GDPR. Microsoft suggerirà all'interessato della Società, che chiede di esercitare uno o più dei propri diritti ai sensi del GDPR in relazione ai Prodotti e ai Servizi di cui Microsoft è un responsabile del trattamento o un altro responsabile del trattamento, di presentare la richiesta direttamente alla Società. La Società sarà tenuta a rispondere a tali richieste, laddove necessario, utilizzando la funzionalità dei Prodotti e dei Servizi. Microsoft sì conformerà alle richieste di assistenza ragionevoli della Società per soddisfare tale esigenza dell'interessato. [omissis] ività di Trattamento Nella misura in cui Microsoft è tenuta ai sensi del GDPR a raccogliere determinate informazioni relative alla Società e a conservarne iregistri, la Società dovrà, laddove richiesto, fornire tali informazioni a Microsoft, mantenendole accurate e aggiornate. Microsoft potrà rendere talî informazioni disponibili all'autorità di controllo, se richiesto dal GDPR. Sicurezza dei Dati Procedure e Criteri di Sicurezza Microsoft adotterà e assicurerà misure organizzative e tecniche appropriate per proteggere i Dati della Società, | Dati dei Servizi Professionali ei Dati Personali da distruzione, perdita e alterazione accidentale o illegale, da divulgazione non autorizzata dei dati personali trasmessi, archiviati o in altro modo trattati oppure dall'accesso ad essi. Tali misure dovranno essere stabilite nei Criteri di Sicurezza di Microsoft. Microsoft metterà a disposizione della Società tali criteri, unitamente ad altri dati ragionevolmente richiesti dalla Società riguardanti le procedure e i criteri di sicurezza di Microsoft. descrizione dei controlli di sicurezza per tali requisiti. Ciascun Servizio Online Core è conforme anche agli standard e ai framework di controllo riportati nella tabella delle Condizioni per l'Utilizzo dei Prodotti. Ciascun Servizio Online Core e ciascun Servizio Professionale adottano e si impegnano a garantire le misure di sicurezza stabilite nell’Appendice A per la protezione dei Dati della Società e dei Dati dei Servizi Professionali. qualora non siano più in uso nel settore e vengano eventualmente sostituiti da altri. Crittografia dei Dati I Dati della Società e i Dati del Servizi Professionali (inclusi i Dati Personali in essi contenuti) in transito sulle reti pubbliche tra la Società e Microsoft o tra i data center di Microsoft sono crittografati per impostazione predefinita. Microsoft crittografa anchei Dati della Società inattivi archiviati nei Servizi Online e i Dati dei Servizi Professionali inattivi archiviati. Nel caso dei Servizi Ontine sui quali la Società o un terzo che agisce per conto della Società potrà sviluppare applicazioni (ad esempio, altri Servizi Azure), la crittografia dei dati archiviati in tali applicazioni potrà essere applicata a discrezione della Società, utilizzando le funzionalità fornite da Microsoft o ottenute dalla Società tramite terzi. Accesso ai Dati Microsoft ricorre a una quantità minima di meccanismi di accesso con privilegi per controllare l’accesso ai Dati della Società e ai Dati dei Servizi Professionali {inclusi i Dati Personali ivi contenuti). | controlli degli accessi basati sui ruoli vengono effettuati per garantire che l’accesso ai Dati della Società e ai Dati dei Servizi Professionali necessario per il funzionamento dei servizi avvenga per uno scopo appropriato e approvato con Sommario > Introduzione > Condizioni Generali 4| keniboni i pia ati aroterione Allegati diPersonal ati LI Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 9 la supervisione dirigenziale. Per quanto riguarda i Servizi Online Core e i Servizi Professionali, Microsoft gestisce i meccanismi di Controllo degli Accessi descritti nella tabella “Misure di Sicurezza” neli'Appendice A e non è contemplato alcun accesso permanente da parte del personale di Microsoft ai Dati della Società e nessun accesso richiesto è per un periodo di tempo limitato. [omissis] responsabilità della Società consiste unicamente nel determinare in modo autonomo se le misure organizzative e tecniche dei Prodotti e dei Servizi soddisfino i propri requisiti, incluse le proprie obbligazioni dì sicurezza previste ai sensi dei Requisiti Relativi alla Protezione dei Dati Personali applicabili. [omissis] o e accetta che (tenendo conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell'ambito di validità, del contesto e delle finalità del trattamento dei suoi Dati Personali, come anche dei rischi nei confronti delle persone fisiche) le procedure e i criteri di sicurezza adottati e assicurati da Microsoft garantiscono un livello di sicurezza adeguato al rischio per quanto riguarda i suoi Dati Personali. La Società è tenuta ad adottare e a garantire misure di tutela del diritto alla protezione dei dati personali e misure di sicurezza per i componenti che la Società fornisce o controlla, come i dispositivi registrati in Microsoft Intune oppure in una macchina virtuale o in un'applicazione di Microsoft Azure. Verifica della Conformità Microsoft svolgerà audit della sicurezza dei computer, dell'ambiente informatico e dei data center fisici utilizzati per il trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali, come di seguito indicato: e Neicasiin cuì uno standard o un framework verrà sottoposto ad audit, un audit di tale standard o framework di controllo verrà avviato almeno con cadenza annuale. e Ciascun audit verrà eseguito in conformità agli standard e alle regole dell'ente normativo o accreditato per ogni standard o framework di controllo applicabile. e Ciascun audit sarà eseguito da auditor della sicurezza terzi qualificati e indipendenti a spese e a scelta di Microsoft. Ciascun audit si concluderà con la generazione di un rapporto di audit (“Rapporto di Audit di Microsoft”), che Microsoft renderà disponibile all'indirizzo https://servicetrust.microsoft.com/ o in un’altra posizione che Microsoft avrà cura di segnalare. Il Rapporto di Audit di Microsoft sarà classificato come Informazioni Riservate di Microsoft e descriverà chiaramente gli eventuali risultati rilevanti ottenuti dal revisore. Microsoft rimedierà immediatamente ai problemi sollevati da qualsiasi Rapporto di Audit di Microsoft per adempiere alle segnalazioni del revisore. Qualora la Società lo richieda, Microsoft le fornirà ciascun Rapporto di Audit di Microsoft. Il Rapporto di Audit di Microsoft sarà soggetto alle limitazioni dî non divulgazione e di distribuzione di Microsoft e del revisore. Nella misura in cui i requisiti di audit della Società ai sensi dei Requisiti Relativi alla Protezione dei Dati Personali non possano essere ragionevolmente soddisfatti tramitei rapporti di audit, la documentazione o le informazioni di conformità che Microsoft mette a livello generale audit, la Società e Microsoft concorderanno sull’ambito, sui tempi, sulla durata, sui requisiti di controllo e di prova e sui corrispettivi per l’audit, a condizione che il mancato raggiungimento di tale accordo non comporti per Microsoft di ritardare irragionevolmente l'esecuzione dell’audit. Nella misura necessaria per l'esecuzione dell’audit, Microsoft renderà disponibili i sistemi di trattamento, le strutture e la documentazione di supporto per il trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali da parte di Microsoft, delle sue Consociate e di Sub Responsabili del Trattamento. Tale audit sarà condotto da una società di audit terza indipendente e accreditata, durante il normale orario lavorativo, previo ragionevole preavviso a Microsoft e nel rispetto di ragionevoli procedure di riservatezza. Né la Società né il responsabile dell’audit avranno accesso ai dati di altre società di Microsoft né alle strutture o ai sistemi Microsoft che non sono coinvolti nella fornitura dei Prodotti e dei Servizi applicabili. La Società è responsabile di tutti i costi e i corrispettivi correlati a tale audit, compresi tutti i ragionevoli costi e corrispettivi per il tempo dedicato da Microsoft per tale audit, in aggiunta alle tariffe associate ai servizi erogati da [omissis] rapporto di audit generato a seguito dell’audit della Società includa l’individuazione di una mancata conformità sostanziale, la Società dovrà condividere con Microsoft tale rapporto di audit e Microsoft dovrà prontamente porre rimedio a qualsiasi mancata conformità sostanziale. Nessuna disposizione del presente Articolo dell’Addendum varia o modifica le Condizioni del GDPR né altera i diritti dell’autorità di controllo o dell'interessato previsti dai Requisiti Relativi alla Protezione dei Dati Personali. Microsoft Corporation è un terzo beneficiario del presente Articolo. Comunicazione di Eventi Imprevisti relativi alla Protezione Qualora Microsoft venga a conoscenza di un inadempimento della sicurezza con conseguente distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali oppure accesso ad essi non autorizzato durante il trattamento da parte di Microsoft (ciascuno un “Evento Imprevisto relativo alla Protezione”), Microsoft, tempestivamente e senza ingiustificato ritardo, (1) comunicherà alla Società l’Evento Imprevisto relativo alla Protezione, (2) analizzerà l'Evento Imprevisto relativo alla Protezione e fornirà alla Società informazioni dettagliate riguardo ad esso e (3) adotterà misure ragionevoli per mitigare gli effetti e ridurre eventuali danni derivanti da esso. Le comunicazioni degli Eventi Imprevisti relativi alla Protezione verranno trasmesse alla Società con qualsiasi mezzo scelto da Microsoft, anche tramite e-mail. È responsabilità esclusiva della Società tenere sempre aggiornate le informazioni di contatto con Microsoft per ciascun Prodotto e Servizio Professionale applicabile. La Società è l’unica responsabile della conformità alle proprie obbligazioni previste dalle leggi in materia di sommario > Introduzione > Condizioni Generali > | i > Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento; 15 settembre 2022) 10 comunicazione degli eventi imprevisti applicabili alla Società e del rispetto di qualsiasi obbligazione riguardante le comunicazioni di terzi in caso di Eventi Imprevisti relativi alla Protezione. Microsoft porrà in essere ogni sforzo ragionevole per aiutare la Società ad adempiere all’obbligazione, ai sensi dell’Articolo 33 del GDPR o di altra legge o altro regolamento applicabile, di comunicare all'autorità di controllo e agli interessati specifici tale Evento Imprevisto relativo alla Protezione. La comunicazione di Microsoft relativa a un Evento Imprevisto relativo alia Protezione o la relativa risposta a tale evento ai sensi del presente Articolo non costituisce un’accettazione di responsabilità rispetto a tale evento. La Società dovrà comunicare tempestivamente a Microsoft eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali eventi imprevisti riguardanti i Prodotti e i Servizi. Trasferimenti e Posizione dei Dati Trasferimenti dei Dati | Dati della Società, i Dati dei Servizi Professionali e i Dati Personali sottoposti al trattamento da parte di Microsoît per conto della Società potranno essere trasferiti, archiviati e trattati in un’area geografica solo in conformità alle Condizioni dell’Addendum e alle misure di sicurezza esposte più avanti nel presente Articolo. Tenendo conto di tali misure di sicurezza, la Società autorizza Microsoft a trasferire i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali negli Stati Uniti o in qualunque altro paese in cui Microsoft o gli Altri suoi Responsabili del Trattamento sono presenti e di archiviare e trattare i Dati della Società e i Dati Personali per fornire i Prodotti, fatto salvo quanto descritto in altri Articoli delle Condizioni dell’Addendum. Tutti i trasferimenti dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali fuori dall'Unione Europea, dallo Spazio Economico Europeo, dal Regno Unito e dalla Svizzera per fornire i Prodotti e i Servizi verranno disciplinati dalle Clausole Contrattuali Tipo 2021 adottate da Microsoft. Inoltre, i trasferimenti dal Regno Unito saranno disciplinati dall’IDTA implementato da Microsoft. Ai fini dell’interpretazione del presente Addendum, “IDTA” indica l’addendum relativo ai trasferimenti internazionali di dati alle clausole contrattuali tipo della Commissione Europea per i trasferimenti internazionali di dati emesso dall’Information Commissioner’s Office del Regno Unito ai sensi dell’Articolo 119A(1) del Data Protection Act 2018 del Regno Unito. Microsoft rispetterà i requisiti di legge in materia di protezione dei dati personali dello Spazio Economico Europeo, del Regno Unito e della Svizzera relativamente alla raccolta, all'utilizzo, al trasferimento, alla conservazione e ad altro tipo di trattamento dei Dati Personali provenienti dallo Spazio Economico Europeo, dal Regno Unito e dalla Svizzera. Tutti i trasferimenti di Dati Personali verso un paese terzo o un’organizzazione internazionale saranno soggetti alle misure di sicurezza appropriate descritte nell’Articolo 46 del GDPR tali trasferimenti e misure di sicurezza saranno documentati conformemente all’Articoto 30(2) del GDPR. Inoltre, Microsoft è certificata e aderisce agli Accordi Quadro sullo Scudo UE-U.S.A. e Svizzera-U.S.A. per la Privacy e agli impegni che comportano, sebbene Microsoft non si attenga agli Accordi Quadro sullo Scudo UE-U.S.A. come base giuridica per i trasferimenti di Dati Personali alla luce della sentenza della Corte di Giustizia dell’Unione Europea nella Causa C-311/18. Microsoft accetta di informare la Società qualora stabilisca di non poter più adempiere all’obbligazione di fornire lo stesso livello di protezione richiesto dai principi dello Scudo per la Privacy. Posizione dei Dati della Società a Riposo Per quanto riguarda i Servizi Online Core, Microsoft archivierà i Dati della Società inattivi in alcune aree geografiche importanti (ciascuna, un’Area Geografica) in base a quanto definito nelle Condizioni per l'Utilizzo dei Prodotti. Microsoft non controlla né limita le aree da cui la Società o i suoi utenti finali potranno accedere o trasferire i Dati della Società. Conservazione ed Eliminazione dei [omissis] periodo di validità della propria sottoscrizione o dell'impegno applicabile nei [omissis] Società avrà sempre la possibilità di accedere ai Dati della Società archiviati in ciascun Servizio Online, di estrarli e di eliminarli. Tale possibilità varrà anche peri Dati dei Servizi Professionali. Fatta eccezione per le versioni di valutazione gratuite e i servizi LinkedIn, Microsoft conserverà i Dati della Società che restano archiviati nei Servizi Online in un account con funzioni limitate per 90 giorni dalla data di scadenza o di risoluzione della sottoscrizione della Società, in modo tale che la Società possa estrarli. A! termine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account ed efiminerà i Dati della Società e i Dati Personali archiviati nei Servizi Online entro un ulteriore periodo di 90 giorni, a meno che non sia autorizzata ai sensi del presente Addendum a conservarli, Per quanto riguarda i Dati Personali relativi al Software e i Dati dei Servizi Professionali, Microsoft eliminerà tutte le copie dopo il conseguimento degli scopi commerciali per cui i dati sono stati raccolti o trasferiti oppure in un momento precedente, su richiesta della Società, a meno che non sia autorizzata ai sensi del presente Addendum a conservarli. Il Servizio Online potrebbe non supportare la conservazione o l'estrazione del software fornito dalla Società. Microsoft non è da considerarsi in alcun modo responsabile dell’eliminazione dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali che verrà eseguita secondo quanto descritto nel presente Articolo. Sommario > Introduzione > Condizioni Generali > Condizioni italperfartonkie ta Protetlone 4 Allegati qui bai Pertona Addendum relativo alta Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 11 Impegno di Riservatezza del Responsabile del Trattamento Microsoft assicurerà che il proprio personale impegnato nel trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali {i) tratterà tali dati solo se istruito dalla Società o come descritto nel presente Addendum e (ii) sarà obbligato a garantire la riservatezza e la sicurezza di tali dati anche al termine del proprio impegno. Microsoft fornirà ai propri dipendenti con accesso ai Dati della Società, ai Dati dei Servizi Professionali e ai Dati Personali una formazione periodica e obbligatoria sul diritto alla protezione dei dati personali e sulla sicurezza in conformità al Requisiti Relativi alla Protezione dei Dati Personali e agli standard di settore applicabili. Comunicazione e Controlli relativi all'impiego dì Sub-Responsabili del Trattamento Microsoft potrà incaricare Sub-Responsabili del Trattamento di fornire alcuni servizi limitati o accessori per suo conto. La Società acconsente a tale impegno e a incaricare le Consociate Microsoft come Sub-Responsabili del Trattamento. Le autorizzazioni di cui sopra costituiranno il preventivo consenso scritto della Società al subappalto da parte di Microsoft del trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali, qualora tale consenso sia necessario ai sensi delle Clausole Contrattuali Tipo o delle Condizioni del GDPR. Microsoft è responsabile della conformità dei Sub-Responsabili del Trattamento che ha incaricato alle proprie obbligazioni contenute nel predente Addendum. Microsoft rende disponibili i dati riguardanti i Sub-Responsabili del Trattamento su un suo sito Web. Quando incaricherà un qualsiasi Sub-Responsabile del Trattamento, Microsoft si assicurerà tramite un contratto scritto che il Sub-Responsabile del Trattamento possa accedere ai Dati della Società, ai Dati dei Servizi Professionali o ai Dati Personali e possa usarli solo per fornire i servizi peri quali è stato incaricato da Microsoft, con il divieto di utilizzarli per qualsiasi altro scopo. Microsoft garantirà che i Sub-Responsabili del Trattamento siano vincolati da contratti scritti che li obblighino a fornire almeno io stesso livello di protezione dei dati personali che le viene richiesto dall’Addendum, incluse ie limitazioni relative alla divulgazione dei Dati Trattati. Microsoft accetta di vigilare sui Sub-Responsabili del Trattamento al fine di garantire l'adempimento di tali obbligazioni contrattuali. Di tanto in tanto Microsoft potrà incaricare nuovi Sub-Responsabili del Trattamento. Microsoft informerà la Società (a seconda dei casi, aggiornando il sito Web e fornendole uno strumento per ricevere la comunicazione di tale aggiornamento) di ogni nuovo Sub-Responsabile del Trattamento con un preavviso di almeno 6 mesi prima di consentire a tale Sub-Responsabile del Trattamento l'accesso ai Dati della Società. Inoltre, Microsoft informerà la Società {a seconda dei casi, aggiornando il sito Web e fornendole uno strumento per ricevere la comunicazione di tale aggiornamento) di ogni nuovo Sub-Responsabile del Trattamento con un preavviso di almeno 30 giorni, prima di consentire a tale Sub-Responsabile del Trattamento l’accesso ai Dati dei Servizi Professionali o ai Dati Personali, che non siano quelli contenuti nei Dati della Società. Qualora Microsoft affidi l’incarico di un nuovo Prodotto o Servizio Professionale, in cui vengono trattati i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali, a un nuovo Sub-Responsabile deì Trattamento, lo comunicherà alla Società prima che il Prodotto o il Servizio Professionale diventi disponibile. Qualora la Società non approvi un nuovo Sub-Responsabile del Trattamento per un Servizio Online o per i Servizì Professionali, potrà risolvere qualsiasi sottoscrizione del Servizio Online interessato o le Attestazioni di Servizi applicabili per il Servizio Professionale in questione, rispettivamente, senza dover pagare alcuna penale o alcun corrispettivo per la risoluzione, fornendo una comunicazione scritta della risoluzione prima della scadenza del periodo di preavviso. Qualora la Società non approvi un nuovo Sub-Responsabile del Trattamento per il Software e non possa ragionevolmente evitare il ricorso al Sub-Responsabile del Trattamento limitando il trattamento dei dati come stabilito nella documentazione o nel presente Addendum, potrà risolvere qualsiasi licenza per il prodotto software interessato senza dover pagare alcuna penale fornendo una comunicazione scritta della risoluzione prima della scadenza del periodo di preavviso specifico. La Società potrà anche includere in tale comunicazione una spiegazione dei motivi alla base della mancata approvazione, al fine di consentire a Microsoft di rivalutare il nuovo Altro Responsabile del Trattamento alla luce dei dubbi sorti. Qualora il Prodotto interessato faccia parte di una famiglia di prodotti {o di un acquisto singolo simile di servizi), la risoluzione sì applicherà all'intera famiglia. Dopo la risoluzione Microsoft rimuoverà dalle fatture successive indirizzate alla Società o al suo rivenditore le obbligazioni di pagamento relative alle sottoscrizioni o ad altri lavori applicabili non pagati peri Prodotti o i Servizi oggetto della risoluzione. Istituti [omissis] Società sia un ente o istituto didattico, al quale si applicano i regolamenti Family Educational Rights and Privacy Act, 20 U.S.C. $ 1232g (FERPA), [omissis] o che ai fini dell’interpretazione dell’Addendum, Microsoft verrà indicata come “dirigente scolastico ” con “interessi educativi legittimi” nei Dati della Società e nei Dati dei Servizi Professionali, poiché tali condizioni sono state definite ai sensi del FERPA e dei relativi regolamenti di attuazione e Microsoft accetta di attenersi alle limitazioni e ai requisiti imposti dal documento 34 CFR 99.33{a) sui dirigenti scolastici. La Società comprende che Microsoft potrebbe non avere a disposizione alcuna informazione di contatto o avere solo informazioni limitate relativamente agli studenti della Società e ai loro genitori. Di conseguenza, la Società avrà la responsabilità di ottenere l'autorizzazione dei genitori per l'eventuale utilizzo dei Prodotti e dei Servizi da parte degli utenti finali in conformità alla legge applicabile e di presentare per conto di Microsoft agli studenti (0, nel caso di uno studente di età inferiore ai 18 anni e che non frequenti un istituto di studi superiori, al genitore dello studente) l'eventuale ordine di comparizione in tribunale o ordinanza legalmente emanata che richieda la divulgazione dei Dati della Società e dei Dati dei Servizi Professionali in possesso di Microsoft in conformità alla legge applicabile. Sommario Introduzione Condizioni Generali > Contfzioni marta Protezione | Allegati iS Addendum relativo alia Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 12 Contratto della Società per CIS Microsoft eroga determinati servizi cloud per enti pubblici (“Servizi Coperti”) in conformità ai Criteri di Sicurezza dell'FBI Criminal Justice Information Services (“CIS”) {“Criterî CJIS”). | Criteri CJIS disciplinano l'utilizzo e la trasmissione dei dati in ambito di giustizia penale. Tutti i Servizi Coperti CJIS di Microsoft verranno disciplinati dalle condizioni del Contratto della Società per CJIS disponibile quì: http://aka.ms/CJISCustomerAgreement, Società In Affari [omissis] Società sia una “persona giuridica con copertura” o una “società in affari” e includa “informazioni sanitarie protette” nei Dati della Società o nei Dati dei Servizi Professionali, secondo la definizione riportata nella legge Health Insurance Portability and Accountability (Portabilità e Responsabilità in materia di Assicurazione Sanitaria) del 1996, e relative modifiche, e nei regolamenti approvati in tale ambito (collettivamente, “HIPAA”), la sottoscrizione del contratto multilicenza della Società comprende ia sottoscrizione del Contratto di Società in Affari HIPAA (“BAA”), il cui testo integrale identifica i Servizi Online o i Servizi Professionali cui si applica ed è disponibile all'indirizzo http://aka.ms/BAA. La Società potrà rifiutare esplicitamente il contratto BAA, inviando a Microsoft una comunicazione scritta con le seguenti informazioni, ai sensi delle condizioni del contratto multilicenza della Società: e laragionesociale completa della Società e dell’eventuale Consociata che ha deciso di rifiutare e e nelcasoincuila Società abbia sottoscritto più contratti multilicenza, il contratto multilicenza cui si applica il rifiuto. California Consumer Privacy Act {(CCPA) Qualora Microsoft tratti i Dati Personali nell’ambito di validità del CCPA, si assumerà, nei confronti della Società, gli impegni aggiuntivi che seguono. Microsoft tratterà i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali per conto della Società e non conserverà, utilizzerà né divulgherà tali dati per scopi diversi da quelli stabiliti nelle Condizioni dell’Addendum e in base a quanto consentito ai sensi del CCPA, incluso ai sensi di eventuali esenzioni di “vendita”. In nessun caso Microsoft venderà tali dati. Le presenti Condizioni del CCPA non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nelle Condizioni dell’Addendum, nelle Condizioni per l'Utilizzo dei Prodotti o in un altro contratto stipulato tra Microsoft e la [omissis] Società, che utilizza i Prodotti e i Servizi per trattarei Dati Biometrici, dovrà: (i) comunicarlo agli interessati, in particolare per ciò che concerne i periodi di conservazione e la distruzione dei dati; (ii) ottenere il consenso degli interessati e (iii) eliminare i [omissis] tutto nella modalità appropriata e necessaria in base ai Requisiti applicabili relativi alla Protezione dei Dati Personali. Microsoft tratterà tali [omissis] enendosi alle istruzioni documentate delia Società {secondo quanto descritto nel precedente Articolo “Ruoli e Responsabilità del Titolare e del Responsabile del Trattamento”) e proteggerà tali Dati Biometrici in conformità alle condizioni per la protezione e la sicurezza dei dati prevista dal presente Addendum. Ai fini dell’interpretazione del presente Articolo, “Dati Biometrici” avrà il significato stabilito nell’Articolo 4 del GDPR e, a seconda dei casi, di termini equivalenti in altri Requisiti Relativi alla Protezione dei Dati Personali. Servizi Professionali Supplementari Quando viene utilizzata negli Articoli elencati di seguito, la definizione “Servizi Professionali” include i Servizi Professionali Supplementari e la definizione “Dati dei Servizi Professionali” includei dati acquisiti per i Servizi Professionali Supplementari. Per quanto riguarda i Servizi Professionali Supplementari, i seguenti Articoli dell’Addendum si applicano allo stesso modo in cui si applicano ai Servizi Professionali: “introduzione”, “Conformità alle Leggi”, “Natura del Trattamento; Titolarità”, “Comunicazione dei Dati Trattati”, “Trattamento dei Dati Personali; GDPR”, il primo paragrafo di “Procedure e Criteri di Sicurezza”, “Responsabilità della Società”, “Comunicazione di Eventi Imprevistì relativi alla Protezione”, “Trasferimento dei Dati” (incluse le condizioni relative alle Clausole Contrattuali Tipo 2021), il terzo paragrafo di “Conservazione ed Eliminazione dei Dati”, “Impegno di Riservatezza del Responsabile del Trattamento”, “Comunicazione e Controlli relativi all'impiego di Sub-Responsabili del Trattamento”, “Società in Affari HiPPA” (nella misura applicabile al contratto BAA), “California Consumer Privacy Act (CCPA)”, “Dati Biometrici”, “Come Contattare Microsoft”, “Appendice 8 - Interessati e Categorie di Dati Personali” e “Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive”. Come Contattare Microsoft Qualora la Società ritenga che Microsoft non adempia ai propri impegni di tutela della protezione dei dati personali 0 di sicurezza, potrà contattare il supporto tecnico o utilizzare ii modulo Web relativo al Diritto alla Protezione dei Dati Personali, disponibile all'indirizzo htto://go.microsoft.com/?linkid=9846224. L'indirizzo postale di Microsoft è: Microsoft Enterprise Service Privacy Microsoft Corporation One Microsoft Way Redmond, Washington 98052 USA Sommario > Introduzione Condizioni Generali > Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (itallano, Ultimo Aggiornamento: 15 settembre 2022) 13 Microsoft Ireland Operations Limited è la società Microsoft incaricata della protezione dei dati personali provenienti dallo Spazio Economico Europeo e dalla Svizzera. li rappresentante di Microsoft Ireland Operations Limited in materia di protezione dei dati personali è raggiungibile al seguente indirizzo: Microsoft Ireland Operations, Ltd. Attn: Data Protection One Microsoft Place South County Business Park Leopardstown Dublin 18, D18 P521, Ireland CIR SII ai 7 DOSE Sommario > Introduzione > Condizioni Generali > - È > Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (italiano, Ultimo Aggiornamento: 15 settembre 2022) 14 Appendice A. Misure di Sicurezza Microsoft ha adottato e garantirà, peri Dati della Società nei Servizi Online Core e per i Dati dei Servizi Professionali, le seguenti misure di sicurezza che, unitamente agli impegni di tutela della sicurezza contenuti nel presente Addendum (incluse fe Condizioni del GDPR) costituiscono l’unica responsabilità di Microsoft relativamente alia protezione di tali dati. Titolarità della sicurezza. Microsoft ha nominato uno o più funzionari addetti alla sicurezza, responsabili del coordinamento e del monitoraggio delle regole e delle procedure di sicurezza. Ruoli e responsabilità per la sicurezza. Il personale Microsoft con accesso ai Dati della Società e ai Dati del Servizi Organizzazione della Sicurezza delle Professionali è soggetto a obbligazioni di riservatezza. Informazioni Programma di gestione dei rischi. Microsoft ha effettuato una valutazione dei rischi prima di trattare ] Dati della Società o di avviare il servizio dei Servizi Online e prima di trattare i Dati dei Servizi Professionali o di avviare i Servizi Professionali. 1 documenti relativi alla sicurezza che non sono più in vigore vengono conservati da Microsoft in conformità ai requisiti di conservazione stabiliti. Inventario delle risorse. Microsoft gestisce un inventario di tutti i supporti di memorizzazione sui quali sono archiviati i Dati della Società o i Dati dei Servizi Professionali. L'accesso agli inventari di tali supporti di memorizzazione è limitato al personale Microsoft in possesso dell’autorizzazione scritta. Gestione delle Risorse - Microsoft classifica i Dati della Società e i Dati dei Servizi Professionali per facilitarne l’identificazione e limitarne Gestione delle Risorse l’accesso in modo appropriato. - Microsoft impone limitazioni sulla stampa del Dati della Società e dei Datl dei Servizi Professionali e adotta procedure per l'eliminazione del materiale stampato contenente tali dati. - Il personale Microsoft dovrà ottenere l'autorizzazione di Microsoft prima di archiviare i Dati della Società o i Dati dei Servizi Professionali su dispositivi portatili, accedere a tali dati in modalità remota o trattarli all’esterno delle strutture Microsoft. Formazione relativa alla sicurezza. Microsoft informa il proprio personale sulle procedure di sicurezza pertinenti e sui ruoli dei membri del personale stesso. Microsoft informa inoltre il proprio personale sulle possibili conseguenze Sicurezza delle Risorse Umane dell’essere inadempiente alle regole e alle procedure di sicurezza. Microsoft utilizza solo dati anonimi nelle attività di formazione, Accesso fisico alle strutture. Microsoft consente solo a persone fisiche identificate e autorizzate l’accesso alle strutture in cui sono situati i sistemi informativi per il trattamento del Dati della Società o del Datl del Servizi Professionali. Accesso fisico al componenti. Microsoft gestisce record dei supporti di memorizzazione in entrata e in uscita contenenti i Dati della Socletà e 1 Datl dei Servizi Professtonall, tra cui ] tipi e Il numero di supporti di memorizzazione, il mittente Sicurezza Fisica e Ambientale e i destinatari autorizzati, la data e l'ora e i tipi dei suddetti dati contenuti. Protezione dalle interruzioni di alimentazione e comunicazione. Microsoft utilizza diversi sistemi standard del settore per impedire la perdita di datl causata dall’interruzione della fornitura di energia elettrica o da interferenze sulla linea. Eliminazione di componenti. Microsoft utilizza processi standard del settore per eliminare i Dati della Società e i Dati dei Servizi Professionali che non sono più necessari. Criteri operativi. Microsoft gestisce documenti sulla sicurezza in cui vengono descritte le misure adottate, nonché le procedure e le responsabilità specifiche del proprio personale che accede ai Dati della Società e ai Dati dei Servizi Professionali. Procedure di Ripristino dei Dati Gestione delle Comunicazioni e - In modo continuativo e comunque non meno di una volta alla settimana, tranne nel caso in cui nel periodo non vi siano delle Operazioni stati aggiornamenti, Microsoft gestisce più copie dei Dati della Società e dei Dati det Servizi Professionali da cui ripristinare i dati stessi. - Microsoft archivia le copie dei Dati della Società e dei Datl del Servizi Professionali e le procedure di ripristino dei dati in una posizione diversa dal luogo in cui si trovano le apparecchiature principali di trattamento dei Dati della Socletà e dei Dati dei Servizi Professionali, sommario + Introduzione > Condizioni Generali > idizioni per n ProReziO > Allegati 12RSIRRA BE DI pc; Addendum relativo alla Protezione del Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 15 - Microsoft ha adottato procedure specifiche che disciplinano l’accesso alle copie dei Dati della Società e dei Dati dei Servizi Professionali. - Microsoft rivede le procedure di ripristino dei dati almeno una volta ogni sel mesi, ad eccezione delle procedure per il ripristino dei dati dei Servizi professionali e dei Servizi di Azure per Enti Pubblici che vengono riviste ogni dodici mesi. - Microsoft registra le operazioni di ripristino dei dati, includendo il nominativo della persona responsabile, la descrizione del dati ripristinati e, a seconda dei casì, il nominativo della persona responsabile e gli eventuali dati peri quali è stato necessario l'inserimento manuale nel processo di ripristino. Software dannoso. Microsoft effettua controlli antimalware per Impedire l’accesso non autorizzato ai Dati della Società e ai Dati dei Servizi Professionali da parte di software dannoso, incluso quello proveniente da reti pubbliche. Dati Esterni ai Limiti - Microsoft crittografa o consente alla Società di crittografare i Dati delia Società e i Dati dei Servizi Professionali trasmessi su reti pubbliche. - Microsoft limita Faccesso ai Dati della Società e ai Dati dei Servizi Professionali contenuti nei supporti di memorizzazione che escono dalle proprie strutture. Registrazione di eventi. Microsoft registra, o consente alla Società di registrare, l’accesso o l'utilizzo dei sistemi Informativi che contengono i Dati della Società o i Dati dei Servizi Professionali, registrano l’ID di accesso, l'ora, l'autorizzazione concessa o negata e l’attività specifica. Criteri di accesso. Microsoft conserva un record dei privilegi di sicurezza delle persone fisiche che accedono ai Dati della Società o al Dati dei Servizi Professionali. Autorizzazione all’Accesso Microsoft conserva e aggiorna un record del personale autorizzato ad accedere ai sistemi Microsoft che contengono i Dati della Società o i Dati dei Servizi Professionali. - Microsoft disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo minimo di sel mesi. - Microsoft indica i membri del personale che potranno concedere, modificare o annullare l’accesso autorizzato a dati e risorse. - Microsoft garantisce che laddove più persone fisiche abbiano accesso a sistemi contenenti i Dati della Socletà o i Dat! dei Servizi Professionali, tall persone fisiche abblano identificatori/accessi specifici. [omissis] personale del supporto tecnico viene autorizzato ad accedere ai Datl della Società e ai Dati dei Servizi Professionali esclusivamente în caso di necessità. - Microsoft limita l’accesso ai Dati della Società e ai Dati dei Servizi Professionali alle sole persone fisiche che ne hanno Controllo deli’Accesso necessità per svolgere le proprie mansioni lavorative. Integrità e Riservatezza - Microsoft istruisce il proprio personale affinché disattivi le sessioni amministrative prima di uscire dalle sedi che controlla o in ogni caso quando i computer vengono lasciati incustoditi. - Microsoft archivia le password in modo tale da renderle incomprensibili mentre sono valide. Autenticazione Microsoft utilizza procedure standard del settore per identificare e autenticare gli utenti che tentano dî accedere ai sistemi informativi. - Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede il rinnovo regolare delle password. Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede che la password contenga almeno otto caratteri. - Microsoft garantisce che gli identificatori disattivati o scaduti non vengano concessi ad altre persone fisiche. - Microsoft controlla o consente alla Società di monitorare i tentativi ripetuti di ottenere l’accesso al sistema informativo utilizzando una password non valida. Sommarlo Introduzione > Condizioni Generali > sentieriiù i > Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 16 - Microsoft conserva procedure standard del settore per disattivare le password danneggiate o divulgate Inavvertitamente. - Microsoft utilizza procedure standard del settore per la protezione delle password, incluse le procedure volte a garantire la riservatezza e l'integrità delle password quando vengono assegnate e distribuite e durante l'archiviazione. Progettazione della Rete. Microsoft dispone di controlli per impedire a persone fisiche di riconoscersi diritti che non sono stati loro ceduti allo scopo di accedere aî Dati della Società o aî Dati dei Servizi Professionali în modo non autorizzato. Procedura di Risposta agli Eventi Imprevisti - Microsoft conserva una registrazione degli inadempimenti alla sicurezza con una descrizione dell’inadempimento, il periodo, le conseguenze dell’inadempimento, Il nome di chi ha effettuato la segnalazione, a chi è stato segnalato, nonché la procedura adottata per il ripristino dei dati. Gestione degli Eventi Imprevisti - Per ogni inadempimento delle obbligazioni di protezione che origina un Evento Imprevisto relativo alla Protezione, relativi alla Protezione delle Microsoft (come descritto al precedente Articolo “Comunicazione di Eventi mprevisti relativi alla Protezione”) Informazioni invierà una comunicazione, senza ritardo irragionevole e, in ogni caso, entro 72 ore. - Microsoft registra, o consente alla Società di registrare, divulgazioni di Dati della Società o di Dati dei Servizi Professionali, inclusi il tipo dî dati divulgati, il destinatario e l'ora. Monitoraggio del servizio. Il personale Microsoft addetto alla sicurezza verifica i registri almeno una volta ognì sei mesi per proporre, ove necessario, iniziative di correzione. - Microsoft conserva piani di emergenza e contingenza per le strutture în cui sono situati i propri sistemi informativi per il trattamento dei Dati della Società o dei Dati dei Servizi [omissis] sistema di archiviazione con ridondanza e le procedure di IMicrosoft per il ripristino dei dati sono progettati per tentare di riportare i Dati della Società e i Dati dei Servizi Professionali nello stato in cui si trovavano o nell'ultimo stato replicato prima di andare persi o distrutti. Sommario > introduzione > + > Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (italiano, Ultimo Aggiornamento: 15 settembre 2022) 17 Appendice B - Interessati e Categorie di Dati Personali Interessati: gli interessati includono i rappresentanti della Società e gli utenti finali, tra cui dipendenti, terzisti, collaboratori e clienti della Società, Tra gli interessati potranno anche essere inclusi coloro che tentano di comunicare o trasferire dati personali a utenti dei servizi erogati da [omissis] o che, in base all'utilizzo dei Prodotti e dei Servizi da parte della Società, quest'ultima potrà scegliere di includere i dati personali di uno dei seguenti tipi di interessati nei dati personali: dipendenti, appaltatori, subfornitorie lavoratori temporanei (correnti, precedenti, futuri) della Società; dipendenti dei tipi indicati sopra; collaboratori/persone di contatto (persone fisiche) o dipendenti della Società, terzisti o lavoratori temporanei di collaboratori/persone di contatto (attuali, precedenti, future) di persone giuridiche; utenti (ad esempio clienti, pazienti, visitatori e così via) e altri interessati che sono utenti dei servizi della Società; partner, stakeholder o persone fisiche che collaborano comunicano o in altro modo interagiscono attivamente con i dipendenti della Società e/o utilizzano strumenti di comunicazione, come app e siti Web resi disponibili dalla Società; stakeholder o persone fisiche che interagiscono passivamente con la Società, ad esempio perché oggetto di un'indagine o di una ricerca o perché menzionati in documenti o nella corrispondenza inviata o ricevuta dalla Società; minori o professionisti con privilegi, ad esempio dottori, avvocati, notai, religiosi e così via. Categorie di dati: i dati personali trasferiti inclusi in messaggi e-mail, documenti e altri dati in formato elettronico nel contesto dei prodotti e dei [omissis] o che, in base all'utilizzo dei Prodotti e dei Servizi da parte della Società, quest'ultima potrà scegliere di includerei dati personali di una delle seguenti categorie nei dati personali: dati personali di base, ad esempio luogo di nascita, indirizzo e numero civico, codice postale o CAP, città di residenza, paese di residenza, numero di cellulare, nome, cognome, iniziali, indirizzo e-mail, sesso e data di nascita, inclusi dati personali di base su membri della famiglia e figli; dati di autenticazione, ad esempio nome utente, password o codice PIN, domanda di sicurezza, audit trail; informazioni di contatto, ad esempio indirizzi, indirizzi e-mail, numeri di telefono, ID di social media e dettagli di contatto di emergenza; numeri e chiavi di identificazione univoci, ad esempio codice fiscale, numero di conto corrente bancario, numero di passaporto e carta d'identità, numero di patente e dati di registrazione del veicolo, indirizzi IP, matricola dipendente, matricola studente, numero paziente, firma, identificatore univoco per cookie o tecnologie simili; pseudonimi; informazioni finanziarie e assicurative, ad esempio numero di assicurazione, nome e numero del conto corrente bancario, nome e numero della carta di credito, numero fattura, reddito, tipo di assicurazione, metodo di pagamento e affidabilità ai fini di concessioni di credito; informazioni commerciali, ad esempio cronologia degli acquisti, offerte speciali, informazioni sottoscrizioni e cronologia dei pagamenti; informazioni biometriche, ad esempio DNA, impronte digitali e scansioni dell’iride; dati reiativi all’ubicazione, ad esempio ID del cellulare, dati della rete per geolocalizzazione, individuazione ubicazione tramite inizio/fine chiamata. | dati relativi all'ubicazione si ottengono dall'uso di punti di accesso Wi-Fi; foto, video e audio; attività Internet, ad esempio cronologia esplorazioni, cronologia di ricerca e attività di lettura, visualizzazione di programmi televisivi, ascolto radio; identificazione del dispositivo, ad esempio numero IMEI, numero della scheda SIM e indirizzo MAG; profiling, ad esempio în base a comportamento antisociale o criminale osservato o profili con pseudonimo basati su URL visitati, flussi di clic, registri esplorazioni, indirizzi IP, domani, app installate o profili basati su preferenze di marketing; dati per risorse umane e selezione del personale, ad esempio dichiarazione dello stato lavorativo, informazioni per la selezione, come curriculum vitae, esperienze lavorative e dettagli del percorso formativo, dati relativi a impiego e posizione, inclusi ore lavorate, N e 7 Condizioni per la Protezione 45 Sommario Introduzione > Condizioni Generali dei Dati Personali Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 18 valutazioni e stipendio, dettagli del permesso di lavoro, disponibilità, condizioni di impiego, dettagli fiscali, dettagli di pagamento, dettagli dell’assicurazione, nonché ubicazione e organizzazioni; » datirelativi alla formazione, ad esempio percorso formativo, formazione corrente, diplomi e voti, titolo di studio conseguito, disturbi di apprendimento; e informazionisucittadinanza e residenza, ad esempio cittadinanza, stato di naturalizzazione, stato civile, nazionalità, stato di immigrazione, dati del passaporto, dettagli di residenza o permesso di lavoro; e informazionitrattate in relazione alle prestazioni di un'attività eseguita nel pubblico interesse o nell'esercizio dell'autorità di pubblico ufficiale; » categorie speciali di dati, ad esempio informazioni sull'origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza a sindacati, dati genetici, dati biometrici al fine dell’identificazione di una persona fisica, dati relativi allo stato di salute, dati relativi alla vita o all'orientamento sessuali di una persona fisica o dati relativi a condanne o reati criminali commessi o ® qualunquedato personale identificato all’Articolo 4 del GDPR. A Condizioni per la Protezione Sommario ò Introduzione > Condizioni Generali > dei Dati Personali > i Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 19 Appendice C - Addendum relativo alle Misure di Sicurezza [omissis] presente Addendum relativo alle Misure di Sicurezza Aggiuntive che integra l’Addendum (il presente “Addendum”), Microsoft offre misure di sicurezza aggiuntive alla Società per il trattamento dei dati personali, nell’ambito di validità del GDPR, da parte di Microsoft per conto della Società e un ulteriore risarcimento agli interessati ai quali si riferiscono tali dati personali. Il presente Addendum integra, senza costituirne una variazione né una modifica, Addendum e ne fa parte. 1. Problemi relativi agli Ordini. Nell’eventualità che Microsoft sia costretta da un ordine di un terzo a divulgare dati personali che sono stati trattati ai sensi del presente Addendum, dovrà: a, porreinessere ogni sforzo ragionevole per reindirizzare tale terzo a richiedere i dati direttamente alla Società; b. comunicare tempestivamente alla Società, tranne nell'eventualità in cui tale comunicazione sia vietata ai sensi della legge applicabile al terzo richiedente, e, in tal caso, porre în essere tutti gli sforzi ragionevoli per ottenere il diritto di deroga al divieto allo scopo di fornire quante più informazioni possibili alla Società e c. porreinessere tutti gli sforzi legittimi per contestare l'ordine di divulgazione in base a carenze giuridiche ai sensi delle leggi della parte richiedente 0 di eventuali discrepanze pertinenti con la legge applicabile dell’Unione Europea o la legge applicabile dello Stato Membro. Qualora, dopo i passaggi descritti sopra da a. a c., Microsoft o una delle sue consociate continui a essere costretta a divulgare i dati personali, Microsoft divulgherà solo la quantità minima di tali dati necessaria a soddisfare l'ordine di divulgazione. Ai fini dell'interpretazione del presente Articolo, gli sforzi legittimi non includono azioni che potrebbero essere punibili con sanzioni civili o penali, come l’oltraggio alla corte ai sensi delle leggi della giurisdizione competente. 2. Indennizzo degli Interessati. In ottemperanza agli Articoli 3 e 4, Microsoft dovrà indennizzare un interessato in caso di danni sostanziali o non sostanziali causati allo stesso per averne divulgato i dati personali che sono stati trasferiti in risposta a un ordine di un'autorità giudiziaria o di polizia oppure di un ente pubblico non appartenente all'Unione Europea o allo Spazio Economico Europeo in violazione delle obbligazioni di Microsoft ai sensi del Capitolo V del GDPR (una “Divulgazione Pertinente”). Nonostante quanto sopra, Microsoft non sarà obbligata a indennizzare l'interessato ai sensi del presente Articolo 2 nella misura in cui l'interessato abbia già ricevuto un risarcimento per lo stesso danno, sia da Microsoft che in altro modo. 3. Condizioni per Indennizzo. L’Indennizzo ai sensi dell’Articolo 2 è condizionato al fatto che l'interessato stabilisca, con ragionevole soddisfazione di Microsoft, che: a. Microsoft si è impegnato in una Divulgazione Pertinente; b. la Divulgazione Pertinente ha costituito i! fondamento di un procedimento ufficiate da parte dell'autorità giudiziaria o di polizia oppure dell'ente pubblico EEA o non appartenente all'UE nei confronti dell'interessato e c. la Divulgazione Pertinente ha direttamente causato danni sostanziali o non sostanziali all'interessato. All’interessato spetta l'onere della prova riguardo alle condizioni da a. a c. Nonostante quanto sopra, Microsoft non sarà obbligata a indennizzare l'interessato ai sensi dell’Articolo 2 nel caso in cui Microsoft stabilisca che la Divulgazione Pertinente non abbia violato le sue obbligazioni ai sensi del Capitolo V del GDPR. A. Portata dei Danni. L’Indennizzo ai sensi dell’Articolo 2 si limita ai danni sostanziali e non sostanziali stabiliti nel GDPR ed esclude i danni consequenziali e tutti gli altri danni che non derivano dalla violazione del GDPR da parte di Microsoft. 5. Esercizio dei Diritti. L'interessato potrà far rispettare a Microsoft i diritti concessi agli interessati ai sensi del presente Addendum senza tenere conto di eventuali restrizioni nella Clausola 3 o 6 delle Clausole Contrattuali Tipo. L'interessato potrà proporre un reclamo ai sensi del presente Addendum solo su base individuale e non nell’ambito di un'azione di categoria, collettiva, di gruppo o di rappresentanza. | diritti concessi agli interessati nel presente Addendum sono personali e non potranno essere ceduti. 6. Comunicazione di Modifica. Microsoft accetta e garantisce di non avere motivo di ritenere che la normativa applicabile a se stessa o ai suoi sub- responsabili del trattamento, anche nei paesi in cui provvede direttamente al trasferimento dei dati personali o dove tale operazione viene eseguita da un altro responsabile del trattamento, le impedisca di seguire le istruzioni della Società e di adempiere alle obbligazioni del presente Addendum o delle Clausole Contrattuali Tipo 2021 e di comunicare alla Società, non appena ne abbia conoscenza, qualsiasi modifica di tale normativa che possa pregiudicare le garanzie e le obbligazioni previste dal presente Addendum o dalle Clausole Contrattuali Tipo, nel qual caso la Società ha facoltà di sospendere il trasferimento dei dati e/o di risolvere il contratto. 3 Condizioni per la Protezione 4 Sommario è Introduzione + Condizioni Generali dei Dati Personali Allegati Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 20 Allegato 1: Condizioni del Regolamento Generale dell’Unione Europea sulla Protezione dei Dati Microsoft rende effettivi gli impegni presi nelle Condizioni del GDPR per tutte le società a decorrere dal 25 maggio 2018. Tali impegni vincolano Microsoft nei confronti della Società indipendentemente (1) dalla versione delle Condizioni per l'Utilizzo dei Prodotti e dalla versione dell’Addendum, che sono comunque applicabili a qualsiasi licenza o sottoscrizione specifica dei Prodotti o (2) a qualsiasi altro contratto che faccia riferimento a tale allegato. Ai fini dell’interpretazione delle presenti [omissis] Società e Microsoft accettano che la Società agisca in qualità di titolare del trattamento dei Dati Personali e che Microsoft agisca in qualità di responsabile del trattamento di tali dati, tranne nei casi in cui la Società agisca in qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà un altro responsabile del trattamento. Le presenti Condizioni del GDPR si applicano al trattamento dei Dati Personali, nell’ambito di validità del GDPR, da parte di Microsoft per conto della Società. Le presenti Condizioni del GDPR non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nelle Condizioni per l'Utilizzo dei Prodotti o in un altro contratto stipulato tra Microsoft e la Società. Le presenti Condizioni del GDPR non si applicano qualora Microsoft sia un titolare del trattamento dei Dati Personali. Obbligazioni Spedfiche del Regolamento Generale sulla Protezione dei Dati: Articoli 28, 32 e 33 1. Microsoft non ricorrerà a un altro responsabile del trattamento senza previa autorizzazione scritta, specifica o generale, della Società. Nel caso di autorizzazione scritta generale, Microsoft informa la Società di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così alla Società l'opportunità di opporsi a tali modifiche. {Articolo 28(2)) 2. Il trattamento da parte di Microsoft è disciplinato dalle presenti Condizioni del GDPR a norma del diritto dell’Unione (d’ora in avanti “Unione”) o degli Stati Membri che vincolano Microsoft alla Società. La materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati Personali, le categorie di interessati e le obbligazioni e i diritti della Società sono stabiliti nel contratto multilicenza della Società, nonché nelle presenti Condizioni del GDPR. In particolare, Microsoft dovrà: (a) trattarei Dati Personali soltanto su istruzione documentata della Società, anche in caso di trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale, satvo che lo richieda il diritto dell’Unione o degli Stati Membri cui è soggetta Microsoft; in tal caso, Microsoft informa la Società circa tale obbligo giuridico prima del trattamento, a meno che il diritto non vieti tale informazione per rilevanti motivi di interesse pubblico; {b) garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano un'adeguata obbligazione legale di riservatezza; (a) adottare tutte le misure richieste ai sensi dell’Articolo 32 del Regolamento Generale sulla Protezione dei Dati; {d) rispettare le condizioni di cui ai paragrafi 1 e 3 per ricorrere a un altro responsabile del trattamento; (e) tenendo conto della natura del trattamento, assistere la Società con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligazione della Società di dare seguito alle richieste per l'esercizio dei diritti dell’interessato di cui al Capo III del Regolamento Generale sulla Protezione dei Dati; (f) assistere la Società nel garantire il rispetto delle obbligazioni di cui agli Articoli da 32 a 36 del Regolamento Generale sulia Protezione dei Dati, tenendo conto della natura del trattamento e delle informazioni a disposizione di Microsoft; {8} su scelta della Società, eliminare o restituirle tutti i Dati Personali dopo che è terminata l'erogazione dei servizi relativi al trattamento ed eliminare le copie esistenti, salvo che il diritto dell’Unione o degli Stati Membri preveda la conservazione dei dati; {h} mettere a disposizione della Società tutte le informazioni necessarie per dimostrare il rispetto delle obbligazioni stabilite all’Articolo 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dalla Società o da un altro soggetto da questa incaricato. Microsoft informerà immediatamente la Società qualora, a suo parere, un'istruzione violi il Regolamento Generale sulla Protezione dei Dati o altre disposizioni, dell'Unione o degli Stati Membri, relative alla protezione dei dati personali. (Articolo 28(3)) 3. Quando Microsoft ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto della Società, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico ai sensi del diritto dell’Unione o degli Stati Membri, le stesse obbligazioni in materia di protezione dei dati personali contenute nelle presenti Condizioni del GDPR, fornendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento stesso. Qualora l’altro responsabile del trattamento ometta di adempiere alle proprie obbligazioni in materia di protezione dei Condizioni per la Protezione & Allegati Sommario > Introduzione > Condizioni Generali dei Dati Personali frena Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (Italiano, Ultimo Aggiornamento: 15 settembre 2022) 21 dati personali, Microsoft conserverà nei confronti della Società l’intera responsabilità dell'adempimento delle obbligazioni dell'altro responsabile. (Articolo 28(4)) 4. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, la Società e Microsoft mettono in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, a seconda dei casi: (a) la pseudonimizzazione e la crittografia dei Dati Personali; {b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; fc) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e {(d} una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (Articolo 32(1)) 5. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a Dati Personali trasmessi, conservati o in altro modo trattati. (Articolo 32(2)) 6. La Società e Microsoft fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a Dati Personali non tratti tali dati se non è istruito in tal senso dalla Società, salvo che lo richieda il diritto dell'Unione o degli Stati Membri. (Articolo 32(4)) 7. Microsoft informerà la Società senza ingiustificato ritardo dopo essere venuta a conoscenza della violazione dei Dati Personali. (Articolo 33(2}}. Tale comunicazione includerà le informazioni che un responsabile del trattamento dovrà fornire a un titolare del trattamento ai sensi dell’Articolo 33(3) nella misura in cui tali informazioni siano ragionevolmente disponibili a Microsoft. Sommario. (ipontingni ftanetafi ii Sommario è Introduzione lizioni Generalili Condizioni > £ondizioni Condizioni pernaro la Protezione Proizzione è i nei del Dati Personali