Versione: 1° febbraio 2023
Il presente Addendum sul Trattamento dei dati (“DPA”) costituisce parte integrante dell’Accordo tra il Cliente e CM.com relativo all’utilizzo dei Servizi da parte del Cliente.
I termini contenuti nei presenti Termini e condizioni che iniziano con una lettera maiuscola sono definiti e hanno il significato di cui al presente articolo.
Interessato: una persona fisica identificata o identificabile associata ai Dati Personali.
Misure Tecniche e Organizzative: misure volte a proteggere i Dati Personali da distruzione accidentale o illecita, da perdita o alterazione accidentale, da divulgazione o accesso non autorizzati nonché da tutte le altre forme illecite di Trattamento.
Responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento.
Sub-responsabile del Trattamento: Una parte incaricata da CM.com per le attività di trattamento per le quali CM.com è un Responsabile del Trattamento ai sensi del presente DPA, come elencato su: www.cm.com/trust-center/privacy/.
Titolare del Trattamento: la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo che, da solo o congiuntamente con altri, determina le finalità e i mezzi del trattamento dei Dati Personali.
Trattamento/Trattare: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatici e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Violazione dei Dati Personali: una violazione della sicurezza con conseguente distruzione, perdita o alterazione accidentale o illecita, divulgazione o accesso non autorizzati ai Dati Personali trasmessi, conservati o comunque trattati.
L’espressione “Valutazione dell’Impatto sulla Protezione dei Dati” avrà il significato ad essa attribuito nella Legge in Materia di Protezione dei Dati Applicabile.
1.2. I riferimenti alle Leggi in Materia di Protezione dei Dati Applicabili saranno sostituiti o incorporeranno riferimenti a qualsiasi legge che sostituisca o modifichi tali Leggi in Materia di Protezione dei Dati Applicabili, impiegando i termini equivalenti definiti da tali leggi una volta entrate in vigore e applicabili.
1.3. I presenti Termini e condizioni per il Trattamento dei dati si applicano esclusivamente al trattamento dei Dati Personali da parte di CM.com in qualità di Responsabile del Trattamento per conto del Cliente. In caso di conflitto, le disposizioni dei presenti Termini e condizioni per il Trattamento dei dati riguardanti il Trattamento dei Dati Personali avranno la precedenza sulle disposizioni dell’Accordo generale sui Termini e condizioni. Laddove singole disposizioni dei presenti Termini e condizioni per il Trattamento dei dati siano non valide o inapplicabili, la validità e l’applicabilità delle altre disposizioni non saranno influenzate.Trust Center: www.cm.com/trust-center/.
2.1 I presenti DPA si applicano alle attività di Trattamento dei Dati Personali, per le quali CM.com è un Responsabile del Trattamento soggetto alle Leggi in Materia di Protezione dei Dati Applicabili.
2.2 CM.com è un Responsabile del Trattamento per le attività di trattamento descritte nell’art. 6 dei presenti DPA.
3.1 Nell’usare il Servizio, il Cliente tratterà i Dati Personali in conformità ai requisiti delle Leggi in Materia di Protezione dei Dati Applicabili. Si precisa che le istruzioni del Cliente per il Trattamento dei Dati Personali devono conformarsi alle Leggi in Materia di Protezione dei Dati Applicabili. Il Cliente è responsabile dell’esattezza, della qualità e della liceità dei Dati Personali e dei mezzi impiegati per l’acquisizione di tali dati. Il Cliente dovrà garantire di soddisfare tutti i requisiti per il trattamento e il trasferimento dei Dati Personali ai sensi delle Leggi Applicabili, tra cui, a titolo esemplificativo ma non esaustivo, garantire una base giuridica del trattamento e/o dei trasferimenti transfrontalieri. Il Cliente informerà CM.com senza indebito ritardo qualora non fosse più in grado di adempiere ai propri obblighi in relazione al trattamento dei Dati Personali ai sensi delle Leggi Applicabili e/o dell’Accordo.
3.2 Senza limitare la generalità di qualsiasi altra disposizione contenuta nell’Accordo, prima di utilizzare il Servizio, il Cliente otterrà il consenso informato e verificabile degli Utenti Finali oppure sarà in grado di fornire conferma della base giuridica applicabile per il Trattamento, e terrà un registro di tale consenso e/o base giuridica. Previo ragionevole preavviso scritto, il Cliente fornirà le informazioni sulla base giuridica come e quando richiesto da CM.com, da qualsiasi Operatore, ente di regolamentazione o altra autorità competente.
4.1 Istruzioni
4.1.1 CM.com tratterà i Dati Personali in conformità al presente DPA e all’Accordo, nonché per le finalità e nelle modalità di volta in volta specificate dal Cliente nell’Accordo e in ulteriori istruzioni eventualmente fornite nell’ambito di applicazione dello stesso.
4.2 Misure Tecniche e Organizzative
4.2.1 Tenendo conto dello stato dell’arte, della natura, dell’ambito, del contesto e delle finalità del Trattamento, nonché del rischio avente probabilità di occorrenza e gravità variabili per i diritti e le libertà delle persone fisiche, CM.com implementerà misure tecniche e organizzative appropriate (compresa la protezione contro il Trattamento non autorizzato o illecito e contro la distruzione accidentale o illecita, la perdita, l’alterazione, il danno, la divulgazione o l’accesso non autorizzati ai Dati Personali) atte a garantire un livello di sicurezza adeguato al rischio. Informazioni aggiornate sulle Misure Tecniche e Organizzative sono disponibili all’indirizzo www.cm.com/trust-center/security/.
4.2.2 CM.com testerà, valuterà ed esaminerà l’efficacia delle Misure Tecniche e Organizzative per garantire la sicurezza del Trattamento su base continua. CM.com migliorerà e incrementerà continuamente le Misure Tecniche e Organizzative, ove appropriato.
4.3 Obblighi del personale
CM.com garantisce che le persone autorizzate al trattamento dei Dati Personali si siano impegnate a garantirne la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza. L’accesso ai Dati Personali è limitato al personale che ha la necessità di accedervi per eseguire i Servizi previsti ai sensi dell’Accordo.
4.4. Riservatezza
CM.com conviene di mantenere riservati i Dati Personali. In particolare, CM.com accetta di non divulgare a terzi i Dati Personali forniti a CM.com da, per o per conto del Cliente senza il previo consenso di quest’ultimo, salvo quanto previsto e richiesto per l’esecuzione del Servizio ai sensi dell’Accordo o delle prescrizioni di legge.
4.5 Diritti dell’Interessato
4.5.1 CM.com si atterrà alle istruzioni del Cliente di trasferire, rettificare, cancellare o bloccare i Dati Personali qualora il Cliente riceva una richiesta da parte di un Interessato di esercitare il proprio diritto di accesso, rettifica, limitazione del Trattamento, cancellazione (“diritto all’oblio”), portabilità dei dati, opposizione al Trattamento o il proprio diritto di non essere soggetti a un processo decisionale automatizzato (“Richiesta dell’Interessato”).
4.5.2 CM.com informerà il Cliente qualora riceva una Richiesta dell’Interessato. Tenendo conto della natura del Trattamento, CM.com coadiuverà il Cliente nel dare seguito a una Richiesta dell’Interessato ai sensi della Legge in materia di protezione dei dati applicabile. CM.com coadiuverà il Cliente nella misura in cui CM.com sia legalmente autorizzata a farlo e la risposta a tale Richiesta dell’Interessato sia richiesta ai sensi delle Leggi in Materia di Protezione dei Dati.
4.6 Assistenza ai fini della conformità del Cliente
CM.com fornirà al Cliente l’ulteriore assistenza ragionevolmente necessaria a garantire l’adempimento degli obblighi del Cliente ai sensi delle Leggi in Materia di Protezione dei Dati, incluso in relazione a:
(a) la valutazione d’impatto sulla protezione dei dati, fornendo tutte le informazioni e la cooperazione di cui il Cliente può avere bisogno allo scopo di coadiuvarlo nell’esecuzione di una valutazione d’impatto sulla protezione dei dati e di revisioni periodiche atte a valutare se il Trattamento dei Dati Personali sia eseguito in conformità alla valutazione d’impatto sulla protezione dei dati;
(b) la previa consultazione con un’autorità di controllo per la protezione dei dati in merito al Trattamento ad alto rischio.
4.7 Conformità, informazioni e revisione
4.7.1 CM.com ha ottenuto le certificazioni di terze parti stabilite nel Trust Center sul sito web di CM.com, disponibile all’indirizzo www.cm.com/trust-center/, che fornisce informazioni su Misure Tecniche e Organizzative, privacy, conformità, gestione dei rischi e sicurezza dei dati. Su richiesta scritta del Cliente, e subordinatamente agli obblighi di riservatezza stabiliti nell’Accordo, CM.com metterà a disposizione del Cliente, che non sia un concorrente di CM.com (o dei revisori indipendenti del Cliente che non siano concorrenti di CM.com), una copia delle sue certificazioni e informazioni di terza parte più recenti relative all’architettura e alla sicurezza IT, ove applicabile e nella misura ragionevolmente necessaria. Il Cliente è responsabile della valutazione delle informazioni messe a disposizione da CM.com e della determinazione del soddisfacimento dei requisiti e degli obblighi del Cliente ai sensi delle Leggi in Materia di Protezione dei Dati Applicabili. Il Cliente accetta che le informazioni fornite ai sensi del presente documento serviranno per adempiere ai diritti di revisione del Cliente ai sensi delle Leggi in Materia di Protezione dei Dati Applicabili.
4.7.2 Nel caso in cui le informazioni fornite da CM.com non siano sufficienti a dimostrare la conformità al presente DPA, il Cliente ha il diritto di nominare un esperto esterno accreditato al massimo una volta all’anno per revisionare le procedure relative al Trattamento dei dati per il Cliente. CM.com collaborerà con tale attività di revisione previo ragionevole preavviso scritto di almeno dieci Giorni Lavorativi. Il Cliente rimborserà CM.com per il tempo impiegato da CM.com in tali attività di revisione alle tariffe per i servizi professionali di CM.com in vigore al momento, che saranno rese disponibili al Cliente su richiesta. Prima dell’inizio di tale attività di revisione, le Parti concorderanno reciprocamente l’ambito, le tempistiche e la durata della stessa, oltre al tasso di rimborso a carico del Cliente.
4.7.3 CM.com ha il diritto di richiedere che l’esperto esterno sottoscriva una dichiarazione di riservatezza a favore di CM.com. La dichiarazione di riservatezza dovrà contenere i termini e condizioni consueti per questo tipo di dichiarazione. Qualsiasi relazione o dichiarazione fornita dall’esperto esterno dovrà essere resa disponibile a CM.com. Il Cliente dovrà garantire che l’attività di revisione ostacoli il meno possibile le attività di CM.com.
4.8 Documentazione
CM.com terrà dei registri completi, accurati e aggiornati delle attività di Trattamento svolte per conto dei propri Clienti.
4.9 Società affiliate e Sub-responsabili del trattamento
4.9.1 Alcuni o tutti gli obblighi in capo a CM.com ai sensi dell’Accordo possono essere ottemperati da società affiliate di CM.com. CM.com è responsabile della conformità delle sue società affiliate all’Accordo.
4.9.2 Il Cliente riconosce e accetta che (a) le società affiliate di CM.com possono essere ingaggiate in qualità di Sub-responsabili del trattamento; e (b) CM.com e le sue società affiliate possono ingaggiare a loro volta dei Sub-responsabili del trattamento terzi nel quadro della fornitura dei Servizi. Sempre a condizione che CM.com o una sua società affiliata abbia stipulato con ciascun Sub-responsabile del Trattamento un accordo scritto contenente obblighi di protezione dei dati non meno restrittivi di quelli previsti dall’Accordo in materia di protezione dei Dati Personali, nella misura applicabile alla natura del Servizio fornito da tale Sub-responsabile del Trattamento, e CM.com manterrà un elenco aggiornato dei Sub-responsabili del trattamento. L’elenco aggiornato dei Sub-responsabili del trattamento di CM.com è disponibile all’indirizzo: www.cm.com/trust-center/privacy/. CM.com informerà il Cliente trenta (30) giorni prima di qualsiasi modifica relativa all’elenco dei Sub-responsabili del trattamento. Entro tale termine, il Cliente può opporsi alla modifica dell’elenco dei Sub-responsabili del trattamento, a condizione che tale obiezione sia presentata per iscritto e sulla base di motivi ragionevoli in relazione alle Leggi in Materia di Protezione dei Dati Applicabili. Le Parti si adopereranno in buona fede per risolvere l’obiezione del Cliente. Se l’obiezione non viene risolta entro trenta (30) giorni, ciascuna delle Parti potrà risolvere l’Accordo.
4.9.3 CM.com sarà responsabile per ciascuno dei suoi Sub-responsabili del trattamento nella stessa misura in cui sarebbe responsabile se prestasse personalmente i servizi affidati a ciascun Sub-responsabile del Trattamento ai sensi dei termini dell’Accordo.
4.10 Notifica di violazione
In relazione a una Violazione dei Dati Personali, CM.com dovrà:
(a) comunicare al Cliente qualsiasi Violazione dei Dati Personali che coinvolga CM.com o un suo subappaltatore senza indebito ritardo (ma in nessun caso oltre quarantotto ore dopo essere venuto a conoscenza di tale Violazione dei Dati Personali);
(b) fornire ragionevole collaborazione e assistenza al Cliente in relazione a qualsiasi azione da intraprendere in risposta a una Violazione dei Dati Personali ai sensi delle vigenti Leggi in Materia di Protezione dei Dati Applicabili, come gli artt. 33 (3) e 34(3) del Regolamento generale sulla protezione dei dati (GDPR), anche per quanto riguarda qualsiasi comunicazione della Violazione dei Dati Personali all’Interessato nonché ai garanti per la protezione dei dati.
CM.com indagherà tempestivamente su una Violazione dei Dati Personali e adotterà misure ragionevoli per identificarne le cause principali e prevenirne la ricorrenza. A meno che non sia vietato dalla legge, man mano che le informazioni vengono raccolte o diventano altrimenti disponibili CM.com fornirà al Cliente una descrizione della Violazione dei Dati Personali, il tipo di dati oggetto della Violazione dei Dati Personali e altre informazioni che il Cliente può ragionevolmente richiedere. Le Parti convengono di coordinare in buona fede lo sviluppo del contenuto di qualsiasi dichiarazione pubblica correlata o di qualsiasi notifica da inoltrare agli Interessati e/o alle autorità preposte alla protezione dei dati pertinenti.
Nella misura in cui l’incarico di un Sub-responsabile del Trattamento ai sensi dell’art. 4.9 richieda un meccanismo di trasferimento transfrontaliero ai sensi delle Leggi in Materia di Protezione dei Dati Applicabili, al fine di trasferire legalmente i dati personali da una giurisdizione (ovvero, lo Spazio economico europeo, il Regno Unito o qualsiasi altra giurisdizione pertinente) a terzi situati al di fuori di tale giurisdizione, si applicheranno i seguenti termini. Il Cliente autorizza CM.com a trasferire i Dati Personali al di fuori della giurisdizione in cui si trova CM.com e in cui i Dati Personali sono stati ricevuti per la prima volta, a condizione che CM.com garantisca che tali trasferimenti siano eseguiti in conformità al presente DPA e a un meccanismo di trasferimento dei dati lecito, che assicuri un livello adeguato di protezione ai sensi delle Leggi in Materia di Protezione dei Dati Applicabili.
CM.com tratterà e conserverà i dati, compresi i Dati Personali, in conformità alla Legge Applicabile e alle normative vigenti, incluse, a titolo esemplificativo ma non esaustivo, le leggi nazionali sulle telecomunicazioni e le Leggi in Materia di Protezione dei Dati Applicabili. I dati, ivi compresi i Dati Personali, inviati alla piattaforma di CM.com saranno trattati e conservati in conformità alla politica di conservazione dei dati di CM.com. I Dati Personali saranno conservati per un periodo non superiore a quello necessario a fornire i Servizi ai sensi dell’Accordo, per le finalità indicate nell’Accordo e nella misura richiesta e/o consentita dalla Legge Applicabile. Una volta trascorso il periodo di conservazione applicabile, CM.com dovrà deidentificare o spersonalizzare i dati rendendoli anonimi. Tale operazione produce dati che non includono Dati Personali o identificatori univoci che potrebbero successivamente essere utilizzati per risalire ai Dati Personali a cui erano precedentemente associati.
7.1 Natura e finalità del Trattamento
CM.com tratterà i Dati Personali nella misura necessaria all’esecuzione dei Servizi ai sensi dell’Accordo, come ulteriormente specificato nello stesso e come ulteriormente indicato dal Cliente nell’ambito dell’Accordo.
7.2 Durata del Trattamento
CM.com tratterà i Dati Personali nel corso del periodo di validità dell’Accordo e in conformità all’art. 6 del presente DPA.
7.3 Categorie di Interessati
Il Cliente può inviare i dati a CM.com tramite il Servizio; il contenuto di tali dati è determinato e controllato a esclusiva discrezione del Cliente e può includere, a titolo esemplificativo ma non esaustivo, Dati Personali relativi alle categorie di Interessati elencati nell’Allegato 1.
7.3 Tipo di Dati Personali
Il Cliente può inviare Dati Personali ai Servizi; la portata di tali dati è determinata e controllata a esclusiva discrezione del Cliente e può includere, a titolo esemplificativo ma non esaustivo, le categorie di Dati Personali elencati nell’Allegato 1.
Interessati:
Conversational AI Cloud
Canali di conversazione
Customer Data Platform
Mobile Marketing Cloud
Mobile Service Cloud
Piattaforma di pagamento
Sign
SMS
• clienti (potenziali) (persone fisiche) del Cliente o dei suoi clienti; • dipendenti, appaltatori, consulenti, liberi professionisti o persone assunte dal Cliente (o dai suoi clienti); • persone di contatto di potenziali clienti, clienti effettivi e partner commerciali del Cliente; • utenti del Cliente autorizzati da questi a utilizzare i Servizi.
Invio ticket
Servizi vocali
Categorie di dati personali:
Conversational AI Cloud
Canali di conversazione
Customer Data Platform
Mobile Marketing Cloud
Mobile Service Cloud
Piattaforma di pagamento
Sign
SMS
Invio ticket
Servizi vocali