Kinsta Inc. Addendum sull’elaborazione dei dati

Aggiornato il: 25 settembre 2025

1. Introduzione e ambito di applicazione

1. Il presente Addendum al Trattamento dei Dati (“DPA“) è un addendum ai Termini di Servizio (“Termini“) o al Contratto di Servizi Master (“MSA“), a seconda dei casi, ed è parte integrante del Contratto. Tutte le disposizioni del Contratto, incluse le limitazioni di responsabilità, si applicano e sono incorporate nel presente DPA. Tuttavia, in caso di conflitto diretto tra le disposizioni del presente DPA e le disposizioni dei Termini o dell’MSA, prevarranno le disposizioni del presente DPA.
2. Aggiornamenti al DPA. Possiamo apportare modifiche al presente DPA in qualsiasi momento a nostra esclusiva discrezione. Forniremo una notifica di qualsiasi modifica sostanziale al presente DPA via e-mail al Proprietario dell’Azienda o pubblicando un avviso di tali modifiche sulla Piattaforma. L’uso continuato dei nostri Servizi per più di 30 giorni dalla trasmissione della nostra notifica costituirà l’accettazione delle nostre modifiche al presente DPA. Se l’utente non accetta le modifiche al presente DPA, può chiudere l’Account e il Contratto ai sensi del Contratto.

2. Definizioni

I termini in maiuscolo che non sono definiti nel presente DPA avranno il significato previsto altrove nel Contratto. Inoltre, i seguenti termini definiti si applicano esclusivamente in relazione al presente DPA.

1. “Controllore“, “Azienda“, “Processore“, “Responsabile“, “Fornitore di Servizi“, “Soggetto dei Dati” (che include “Consumatore“), “Trattamento“, “Dati Personali” (che include “Informazioni Personali“), e “Vendere” (che include “Condividere” ai sensi del CCPA) (e variazioni simili o correlate di tali termini) avranno il significato loro attribuito nelle Leggi sulla Protezione dei Dati applicabili.
2. per “Dati Personali del Cliente” si intendono i Dati Personali trasmessi, memorizzati o altrimenti elaborati da o attraverso le Applicazioni del Cliente in relazione alla fornitura dei Servizi da parte di Kinsta.
3. per “Violazione dei Dati Personali” si intende qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale o non autorizzato ai Dati Personali del Cliente, ad esclusione dei tentativi non riusciti o delle attività che non compromettono la sicurezza o l’integrità dei Dati Personali del Cliente, inclusi, a titolo esemplificativo e non esaustivo, i tentativi di log-in, i ping, le scansioni delle porte, gli attacchi denial of service e altri attacchi di rete ai firewall o ai sistemi in rete.
4. per “Sub-responsabile” si intende un elaboratore terzo ingaggiato da Kinsta che può trattare i Dati Personali dell’Utente allo scopo di fornire i Servizi.
5. “Leggi sulla protezione dei dati dell’UE” indica il Regolamento generale sulla protezione dei dati dell’UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (“GDPR“), come implementato e integrato dalla legislazione nazionale di ciascuno Stato membro, il Data Protection Act 2018 del Regno Unito e il GDPR del Regno Unito, e la Legge svizzera sulla protezione dei dati, e in ogni caso, come modificato, sostituito o sostituito di volta in volta.
6. “Leggi statunitensi sulla protezione dei dati” indica il California Consumer Privacy Act (come modificato dal California Privacy Rights Act) (collettivamente, il “CCPA“), il Colorado Privacy Act, il Connecticut Data Privacy Act, il Delaware Personal Data Privacy Act, l’Indiana Consumer Data Protection Act, l’Iowa Consumer Data Protection Act, il Kentucky Consumer Data Protection Act, il Maryland Online Data Privacy Act, il Minnesota Consumer Data Privacy Act, il Montana Consumer Data Privacy Act, il Nebraska Data Privacy Act, il New Hampshire Privacy Act, il New Jersey Data Privacy Act, l’Oregon Consumer Privacy Act, il Rhode Island Data Transparency and Privacy Protection Act, il Tennessee Information Protection Act, il Texas Data Privacy and Security Act, lo Utah Consumer Privacy Act e il Virginia Consumer Data Protection Act e, in ogni caso, come di volta in volta emendato, sostituito o sostituito.
7. per “Leggi sulla Protezione dei Dati” si intendono le leggi e i regolamenti che disciplinano la privacy, l’integrità e la sicurezza dei Dati Personali, incluse le Leggi sulla Protezione dei Dati dell’Unione Europea e le Leggi sulla Protezione dei Dati degli Stati Uniti, nella misura in cui tali leggi e regolamenti si applicano al Trattamento dei Dati Personali del Cliente da parte di Kinsta.
8. per “Trasferimento Internazionale” si intende un’esportazione di
   1. Dati personali del cliente,
   2. disciplinata da una qualsiasi delle Leggi sulla Protezione dei Dati dell’Unione Europea,
   3. verso un paese terzo al di fuori dello Spazio Economico Europeo (“SEE”), del Regno Unito (“UK”) o della Svizzera,
   4. che non sia stato designato dalla Commissione Europea, dal Regno Unito o dalla Svizzera come paese che garantisce un livello di protezione adeguato.
9. “SCC” indica le clausole contrattuali standard, come adottate dalla Decisione di esecuzione (UE) 2021/914 della Commissione, del 4 giugno 2021, relativa alle clausole contrattuali standard per il trasferimento di dati personali a paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
10. “UK Addendum” indica l’Addendum sul trasferimento internazionale dei dati alle Clausole Contrattuali Standard della Commissione UE emesso dall’Information Commissioner’s Office del Regno Unito, VERSIONE B1.0, in vigore dal 21 marzo 2022.

3. Ruoli, obblighi generali e disposizioni CCPA

1. Il Cliente è il Titolare e l’Azienda e Kinsta sono il Responsabile del trattamento e il Fornitore di servizi in relazione ai Dati personali del Cliente. Kinsta tratterà i Dati Personali del Cliente solo allo scopo di fornire i Servizi in conformità alle istruzioni documentate del Cliente, che includono le disposizioni del Contratto, a meno che non sia altrimenti richiesto per conformarsi a qualsiasi legge sulla protezione dei dati. Informeremo il Cliente se le sue istruzioni violano le Leggi sulla Protezione dei Dati. La natura, lo scopo e la durata del Trattamento sono indicati nell’Allegato I delle SCC.
2. Kinsta certifica, comprende e concorda che non dovrà
   1. Vendere i Dati Personali del Cliente,
   2. conservare, utilizzare o divulgare i Dati Personali del Cliente per qualsiasi scopo (incluso qualsiasi scopo commerciale) diverso dallo scopo specifico di fornire i Servizi ai sensi del Contratto, a meno che non sia espressamente consentito dalle leggi statunitensi applicabili in materia di protezione dei dati, oppure
   3. conservare, utilizzare o divulgare i Dati Personali del Cliente al di fuori del rapporto commerciale diretto tra il Cliente e Kinsta, a meno che non sia espressamente consentito dalle leggi statunitensi sulla protezione dei dati.
3. Informeremo il Cliente nel caso in cui decidessimo di non poter più adempiere ai nostri obblighi ai sensi delle leggi statunitensi sulla protezione dei dati.
4. Il Cliente e Kinsta dovranno rispettare le leggi sulla protezione dei dati. Il Cliente dovrà ottenere tutte le autorizzazioni, i consensi, le liberatorie o i permessi richiesti e fornire tutti gli avvisi sulla privacy richiesti in merito ai Dati personali del Cliente. A scanso di equivoci, salvo quanto diversamente previsto nel presente DPA, il Cliente sarà l’unico responsabile dell’accuratezza, della qualità e della legalità di tutti i Dati Personali del Cliente e delle basi su cui vengono raccolti dall’Interessato.

4. Valutazioni di sicurezza e di impatto

1. Kinsta garantirà che il suo personale sia soggetto a obblighi vincolanti di riservatezza in relazione ai Dati Personali del Cliente.
2. Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà dei Soggetti interessati, Kinsta implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, comprese le misure stabilite nell’Allegato II delle SCC. In base a un accordo scritto di riservatezza e non divulgazione, il Cliente può richiedere ed esaminare l’attuale documentazione di Kinsta sulla sicurezza delle informazioni, disponibile all’indirizzo https://trust.kinsta.com/ (“Documentazione sulla sicurezza“).
3. Tenendo conto della natura del Trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle Leggi sulla Protezione dei Dati in materia di sicurezza, valutazioni d’impatto e consultazioni con le autorità di vigilanza o le autorità di regolamentazione.

5. Violazione dei dati personali

1. Tenendo conto della natura del Trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle Leggi sulla Protezione dei Dati in relazione a una Violazione dei Dati Personali.
2. Se scopriamo una violazione dei dati personali, Kinsta fornirà, senza indebito ritardo, un avviso scritto della violazione dei dati personali al Cliente.
3. L’avviso includerà quanto segue, nella misura in cui è noto (e aggiornato non appena saranno ragionevolmente disponibili ulteriori informazioni):
   1. le date e gli orari della violazione dei dati personali,
   2. i fatti fondamentali alla base della scoperta della violazione dei dati personali o della decisione di avviare un’indagine su una sospetta violazione dei dati personali, a seconda dei casi,
   3. una descrizione dei Dati Personali del Cliente coinvolti nella Violazione dei Dati Personali, in modo specifico o con riferimento alle categorie di dati, e
   4. le misure previste o in corso per rimediare o attenuare la vulnerabilità che ha dato origine alla violazione dei dati personali.

6. Richieste dell’interessato

1. Tenendo conto della natura del Trattamento, Kinsta assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle Leggi sulla Protezione dei Dati.
2. Kinsta informerà tempestivamente il Cliente qualora riceva una richiesta da parte di un Soggetto interessato di far valere i propri diritti in relazione ai Dati personali del Cliente, a meno che non sia altrimenti vietato dalla legge applicabile. Kinsta non intraprenderà autonomamente alcuna azione in risposta a una richiesta di un Soggetto interessato senza la preventiva istruzione scritta del Cliente, salvo quanto richiesto dalla legge applicabile.

7. Trasferimenti internazionali

1. Il Cliente può scegliere le regioni dei data center in cui saranno ospitate le Applicazioni del Cliente. A prescindere dalla regione del centro dati del Cliente, alcuni aspetti dei Servizi possono richiedere trasferimenti internazionali. Il Cliente autorizza tali Trasferimenti Internazionali dei Dati Personali del Cliente al solo scopo di fornire i Servizi. I Trasferimenti Internazionali sono soggetti al MODULO DUE (dal responsabile del trattamento all’incaricato del trattamento) delle SCC. Per i Trasferimenti Internazionali dalla Svizzera, le parti concordano che tutti gli adattamenti e gli emendamenti alle SCC richiesti dal Commissario Federale Svizzero per la Protezione dei Dati e l’Informazione sono incorporati nelle SCC (gli “Emendamenti Svizzeri“). Per i Trasferimenti Internazionali dal Regno Unito, le parti accettano il UK Addendum. Le informazioni della Tabella dell’Addendum del Regno Unito sono le seguenti: Tabella 1: si veda l’Allegato I delle SCC; Tabella 2: si veda la Sezione 7.b; Tabella 3: si vedano gli Allegati I e II delle SCC; l’elenco dei sub-responsabili di Kinsta si trova qui : https://kinsta.com/legal/subprocessors/; Tabella 4: l’Importatore e l’Esportatore possono porre fine al UK Addendum come indicato nella Sezione 19 dello stesso.
2. Per quanto riguarda le disposizioni facoltative contenute nelle SCC, negli Emendamenti svizzeri e nello UK Addendum, le parti convengono quanto segue:
   1. Le parti accettano la clausola 7.
   2. Le parti scelgono l’OPZIONE 2 della Clausola 9(a).
   3. Le parti non accettano le disposizioni opzionali della Clausola 11(a).
   4. Le parti scelgono l’OPZIONE 1 della Clausola 17 e lo Stato membro sarà l’Irlanda, il Regno Unito o la Svizzera, a seconda dei casi.
   5. Le parti concordano che lo Stato membro di cui alla Clausola 18(b) sarà l’Irlanda, il Regno Unito o la Svizzera, a seconda dei casi.
3. Le SCC, gli Emendamenti della Svizzera e l’Addendum del Regno Unito, a seconda dei casi, sono incorporati come riferimento nel presente DPA per qualsiasi Trasferimento Internazionale. L’accettazione dell’Accordo da parte delle parti equivale al loro rispettivo accordo di rispettare le relative SCC, gli Emendamenti svizzeri e lo UK Addendum in relazione a qualsiasi Trasferimento Internazionale.

8. Sub-responsabili

1. Il Cliente autorizza Kinsta ad avvalersi dei Sub-responsabili elencati all’indirizzo https://kinsta.com/legal/subprocessors/ (l'”Elenco dei Sub-responsabili“). Prima di aggiungere o sostituire i Sub-responsabili, Kinsta comunicherà per iscritto tali modifiche al Cliente. La mancata opposizione scritta del Cliente a un nuovo Sub-responsabile entro 14 giorni dalla notifica di Kinsta del nuovo Sub-responsabile costituirà l’autorizzazione del Cliente al nuovo Sub-responsabile. Kinsta si riserva il diritto di utilizzare immediatamente un nuovo Sub-responsabile al solo scopo di proteggere i Servizi o le Applicazioni del Cliente.
2. Se Kinsta determina, a sua esclusiva discrezione, di non poter ragionevolmente accogliere l’obiezione tempestiva del Cliente nei confronti di un Sub-responsabile, su comunicazione di Kinsta, il Cliente può scegliere di risolvere il Contratto ai sensi delle disposizioni di risoluzione del Contratto, che sarà l’unico ed esclusivo rimedio del Cliente.
3. Kinsta imporrà ai suoi Sub-responsabili obblighi uguali o equivalenti a quelli previsti dal presente DPA mediante contratto scritto. Kinsta sarà responsabile nei confronti del Cliente per l’adempimento da parte dei Sub-responsabili dei propri obblighi di protezione dei dati in relazione ai Dati Personali del Cliente.

9. Audit e ispezioni

1. In base a un accordo scritto di riservatezza e non divulgazione, il Cliente può richiedere ed esaminare la Documentazione di sicurezza di Kinsta e qualsiasi altra informazione ragionevolmente necessaria per dimostrare la conformità agli obblighi stabiliti nel presente DPA.
2. Il Cliente può condurre una verifica solo se, dopo aver esaminato la Documentazione di Sicurezza, rimangono irrisolti specifici problemi di conformità. Qualsiasi verifica dovrà essere (i) condizionata a un ragionevole preavviso scritto, non inferiore a trenta (30) giorni, a Kinsta; (ii) condizionata a un accordo scritto di riservatezza e non divulgazione e a un piano di verifica scritto e dettagliato rivisto e pre-approvato da Kinsta; (iii) limitata a una volta ogni dodici (12) mesi; (iv) a spese e costi esclusivi del Cliente; e (v) in presenza virtuale o fisica di un rappresentante di Kinsta senza interrompere in modo irragionevole le operazioni commerciali di Kinsta.

10. Cancellazione o restituzione dei dati personali del Cliente

In caso di risoluzione del Contratto e su richiesta scritta del Cliente, Kinsta adotterà misure ragionevoli per cancellare i Dati Personali del Cliente o restituire i Dati Personali del Cliente e le relative copie al Cliente, fatte salve le leggi applicabili o altri obblighi di Kinsta che richiedono la conservazione dei Dati Personali del Cliente da parte di Kinsta.

SCC Allegato I

A. ELENCO DELLE PARTI

Data exporter:

Nome: L’entità identificata come Cliente.

Indirizzo: L’indirizzo del Cliente registrato nella Piattaforma o come altrimenti specificato nel Contratto.

Nome, posizione e dettagli del contatto: I dati di contatto del Proprietario Azienda associata all’Account del Cliente, o come altrimenti specificato nel Contratto.

Attività relative ai dati trasferiti ai sensi delle Clausole: Funzionamento delle Applicazioni del Cliente Firma e data: le parti concordano che l’accettazione o l’esecuzione del Contratto, a seconda dei casi, costituirà l’esecuzione delle presenti SCC da parte di entrambe le parti.

Ruolo: Titolare del trattamento

Data importer:

Nome: Kinsta Inc.

Indirizzo: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, USA

Nome, posizione e dettagli del contatto: Kinsta Data Privacy team [email protected] o per posta all’indirizzo sopra indicato

Attività relative ai dati trasferiti ai sensi delle Clausole: Fornitura dei Servizi

Firma e data: Le parti concordano che l’accettazione o l’esecuzione del Contratto, a seconda dei casi, costituirà l’esecuzione delle presenti SCC da parte di entrambe le parti.

Ruolo: Responsabile del trattamento

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali vengono trasferiti
Qualsiasi soggetto terzo che visiti, utilizzi o acceda alle Applicazioni del Cliente, o i cui dati personali siano trasmessi, memorizzati o altrimenti elaborati dal Cliente attraverso le Applicazioni del Cliente, tra cui, a titolo esemplificativo: dipendenti e altro personale, clienti e committenti (compreso il loro personale), visitatori del sito web o utenti finali, fornitori (compreso il loro personale), parenti e collaboratori dei suddetti, consiglieri, consulenti e altri esperti professionali, azionisti, membri o sostenitori, nonché studenti e alunni.

Categorie di dati personali trasferiti
Tutte le categorie consentite dal Cliente per essere trasmesse, archiviate o altrimenti elaborate attraverso le Applicazioni del Cliente. Tali categorie possono includere, ad esempio, informazioni di contatto, dettagli sull’occupazione, informazioni finanziarie, dettagli sull’istruzione e la formazione, identificativi di un’autorità pubblica, famiglia, stile di vita e circostanze sociali.

Dati sensibili trasferiti (se applicabile) e restrizioni applicate
Il Cliente può consentire la trasmissione, l’archiviazione o il trattamento di dati sensibili attraverso le Applicazioni del Cliente. A queste categorie di dati personali (se presenti) si applicano le restrizioni e le garanzie specificate nell’Allegato II. Il Cliente sarà responsabile di informare Kinsta delle specifiche categorie di dati sensibili trasferiti e di qualsiasi ulteriore restrizione applicata.

Frequenza del trasferimento
Continuo

Natura del trattamento
Trattamento in relazione alla fornitura dei Servizi, incluso l’hosting delle Applicazioni del Cliente e il relativo supporto.

Finalità del trasferimento dei dati e dell’ulteriore elaborazione
Fornitura dei Servizi

Periodo di conservazione dei dati personali
Ai sensi della DPA, Sezione 10

Per i trasferimenti a (sub)responsabili del trattamento, specificare l’oggetto, la natura e la durata del trattamento
L’oggetto, la natura e la durata del trattamento da parte dei sub-responsabili sono indicati nel presente Allegato I, Sezione B.

C. AUTORITÀ DI CONTROLLO COMPETENTE

Identifica l’autorità o le autorità di controllo competenti in conformità alla Clausola 13
Irlanda

SCC Allegato II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI.

GOVERNANCE E ORGANIZZAZIONE DELLA SICUREZZA

• Manteniamo politiche di sicurezza delle informazioni che limitano il trattamento dei Dati Personali dei Clienti da parte dei membri del team solo a quanto necessario per fornire i Servizi.
• Tutti i membri del team firmano accordi con clausole di non divulgazione prima di accedere ai Dati personali dei clienti.
• Abbiamo un team di sicurezza dedicato e a tempo pieno.
• Un gruppo di supervisione della sicurezza comprende membri dei team di ingegneria, operativo, legale ed esecutivo.
• Tutti i membri del team ricevono una formazione sulla privacy dei dati e sulle nostre politiche.

CRITTOGRAFIA DEI DATI

• Tutti i Dati personali dei clienti trasferiti da Kinsta sono crittografati durante il transito.
• Tutti i dati personali dei clienti conservati nei data center (tutte le applicazioni dei clienti e i log di accesso) sono crittografati a riposo.
• Kinsta offre certificati SSL gratuiti e consente ai clienti di forzare le connessioni HTTPS per criptare tutto il traffico delle applicazioni dei clienti in transito.

GESTIONE DELL’IDENTITÀ E DEGLI ACCESSI

• Le politiche e le pratiche di gestione dell’identità e degli accessi seguono il principio del minor privilegio e del controllo degli accessi basato sui ruoli (RBAC).
• Ove applicabile, l’autenticazione a due fattori è abilitata su tutti gli account della piattaforma dei membri del team che hanno accesso ai dati personali dei clienti.
• L’accesso root ai container e ai server avviene solo tramite chiave privata unica e i membri del team ricevono l’accesso minimo necessario per svolgere le loro mansioni.
• L’accesso root è possibile solo attraverso punti di accesso alla rete dedicati, non gli stessi punti di accesso dell’accesso normale.

INFRASTRUTTURA E SICUREZZA FISICA

• I controlli sull’accesso fisico sono implementati dai nostri Sub-responsabili di data center per limitare l’accesso all’hardware nei data center.
• I nostri fornitori di data center sono stati sottoposti a diversi audit di sicurezza e possiedono certificazioni come SOC 2 Type II e ISO 27001.

SICUREZZA DI RETE E PERIMETRALE

• Il Web Application Firewall (WAF) e la protezione DDoS sono integrati nei servizi.
• Kinsta limita le connessioni non HTTP ai soli protocolli sicuri (SSH, SFTP).
• Le applicazioni dei clienti sono protette da un firewall personalizzato gestito dal team di ingegneri di Kinsta.

MINIMIZZAZIONE DEI DATI

• Kinsta compie ogni ragionevole sforzo per elaborare, trasferire e conservare solo la quantità e il tipo di dati necessari per fornire i Servizi.

BACKUP, PORTABILITÀ, CONSERVAZIONE ED ELIMINAZIONE

• Vengono create diverse forme di backup regolari. I clienti possono facilmente scaricare i backup per trasferirli su altri host (portabilità) o per archiviarli su altri servizi.
• I Clienti possono avviare la cancellazione delle Applicazioni del Cliente dalla Piattaforma. Alla cessazione dei Servizi, Kinsta compie ogni ragionevole sforzo per eliminare tutti i Dati Personali del Cliente entro 45 giorni.

GESTIONE DELLE PATCH E DELLA CONFIGURAZIONE

• I pacchetti e i software del server sono tenuti aggiornati dal nostro team di tecnici e gli aggiornamenti di sicurezza vengono applicati tempestivamente.

Versioni precedenti