Questa è la traduzione in italiano della sezione legale originale in lingua inglese. Si noti che, sebbene poniamo la massima attenzione per essere certi che il testo che segue sia conforme all’originale, nel caso di qualsiasi discordanza tra le due versioni, prevale la versione in lingua inglese disponibile all’indirizzo https://kinsta.com/legal/data-processing-addendum/.

1. Introduzione e Ambito di Applicazione

  1. Il Presente Addendum sul Trattamento dei Dati (“DPA”) fa parte dei Termini di Servizio, dell’Informativa sulla Privacy e delle altre policy e accordi applicabili presenti nel sito web di Kinsta all’indirizzo https://kinsta.com/legal/ (collettivamente, il “Contratto”). In caso di conflitto tra questo DPA e qualsiasi altra disposizione del Contratto (diversa da questa DPA), prevalgono le disposizioni della presente DPA.
  2. Il presente DPA è un accordo vincolante tra Kinsta e i suoi clienti, ma solo nella misura in cui (a) Kinsta Tratta i Dati Personali del Cliente (definiti di seguito) per o per conto del Cliente ai sensi dell’Accordo (b) e, a tali Dati Personali del Cliente, si applicano le leggi sulla Protezione dei Dati. Utilizzando in qualsiasi modo i nostri Servizi, accettate i termini di questo DPA.

2. Definizioni

I termini in maiuscolo che non sono definiti nel presente documento avranno il significato fornito altrove nel Contratto. Inoltre, i seguenti termini qui definiti si applicano esclusivamente al presente DPA.

  1. Titolare“, “Responsabile del trattamento“, “Interessato“, “Trattamento“, “Dati Personali” e “Violazione dei Dati Personali” avranno i significati loro attribuiti nelle Leggi sulla Protezione dei Dati.
  2. Dati Personali del Cliente” indica qualsiasi dato personale soggetto alle leggi sulla protezione dei dati che il cliente fornisce, trasferisce o rende accessibili a Kinsta in relazione ai servizi.
  3. Leggi sulla Protezione dei Dati” indica il regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo, del 27 aprile 2016, e qualsiasi legge di attuazione simile o correlata degli Stati membri dell’Unione Europea o dello Spazio Economico Europeo, del Regno Unito o della Svizzera.

3. Ruoli delle Parti

  1. Il Cliente è il Titolare del Trattamento (Controller) e Kinsta è il Responsabile del Trattamento (Processor) in relazione ai Dati Personali del Cliente. Kinsta tratterà i dati personali del cliente solo in conformità con le istruzioni documentate del cliente, che comprendono le disposizioni del Contratto, a meno che non sia richiesto diversamente per ottemperare alle leggi sulla protezione dei dati. Vi informeremo se, a nostro avviso, le vostre istruzioni violano le leggi sulla protezione dei dati.
  2. Il Cliente e Kinsta devono rispettare le Leggi sulla Protezione dei Dati. Il Cliente deve ottenere le autorizzazioni, i consensi, i rilasci o le autorizzazioni richiesti e fornire tutte le note sulla privacy richieste in merito ai Dati Personali del Cliente. A scanso di equivoci, il Cliente sarà l’unico responsabile per l’accuratezza, la qualità e la legittimità di tutti i Dati Personali del Cliente e delle basi su cui sono raccolti dall’interessato.

4. Natura, Finalità e Durata del Trattamento

  1. Kinsta tratterà i Dati personali del Cliente come necessario per fornire i Servizi – che sono generalmente limitati all’hosting passivo dei siti web del Cliente – o per proteggere i diritti legali di Kinsta, per la durata del Contratto, salvo diverso accordo scritto. Il trasferimento dei Dati Personali del Cliente a Kinsta in relazione ai Servizi è determinato e controllato dal Cliente a sua esclusiva discrezione.
  2. Kinsta può trattare le seguenti categorie di dati personali del cliente: qualsiasi dato personale raccolto, utilizzato o altrimenti trattato da soggetti interessati dell’utente finale in connessione con i siti web dei clienti.
  3. Kinsta può trattare i dati personali dei clienti dalle seguenti categorie di soggetti: Utenti Finali dei Siti Web dei Clienti.

5. Trasferimenti Transfrontalieri

  1. Sceglierete il data center della Google Cloud Platform su cui saranno ospitati i vostri siti web. Riconoscete, accettate e comprendete che (a) tutti i vostri Dati Personali del Cliente verranno automaticamente trasferiti e archiviati nel data center di Google di vostra scelta, e (b) i Dati personali del Cliente potrebbero essere trasferiti dall’Area Economica Europea, dal Regno Unito o dalla Svizzera nel Paese in cui si trova il data center di Google, a seconda della vostra scelta.
  2. Kinsta e Google hanno accettato i Google Cloud Platform Data Processing and Security Terms and EU Model Contract Clauses. Per maggiori informazioni, consultare gli impegni di Google sui trasferimenti transfrontalieri nella sezione “Trasferimento Internazionale di Dati” qui: https://cloud.google.com/security/gdpr/.
  3. Il Cliente inoltre autorizza Kinsta a trasferire i Dati Personali del Cliente in qualsiasi giurisdizione al di fuori del SEE allo scopo di fornire i Servizi se (a) è stata effettuata una constatazione di adeguatezza ai sensi delle Leggi sulla Protezione dei Dati che la giurisdizione pertinente fornisce e un livello adeguato di protezione, oppure (b) esistono altre garanzie appropriate, come clausole contrattuali standard o Privacy Shield, in quanto applicabili.

6. Sub-responsabili

  1. Kinsta dà incarico a subcontractor di terze parti che trattano i Dati Personali del Cliente (“Sub-responsabili”) allo scopo di fornire i Servizi. Un elenco aggiornato di Sub-responsabili è disponibile di seguito nell’Appendice A. Il Cliente autorizza Kinsta a dare incarico a questi sub-responsabili allo scopo di fornire i Servizi.
  2. Di tanto in tanto Kinsta può aggiornare l’elenco dei sub-responsabili nell’Appendice A e tali aggiornamenti saranno l’unico mezzo per comunicare al Cliente le modifiche dei Sub-responsabili. Il Cliente è responsabile di controllare e rivedere regolarmente l’elenco dei sub-responsabili nell’Appendice A. La mancata opposizione del cliente per iscritto a un nuovo sub-responsabile entro quattordici (14) giorni dalla pubblicazione su Kinsta del nuovo sub-responsabile costituisce autorizzazione del Cliente per il nuovo sub-responsabile.
  3. Se Kinsta stabilisce a sua esclusiva discrezione che non può ragionevolmente accogliere l’obiezione tempestiva del Cliente a un Sub-responsabile, previa comunicazione di Kinsta, il Cliente può scegliere di risolvere il Contratto in conformità con le disposizioni di risoluzione nei Termini di Servizio, che saranno di esclusiva competenza e tutela del Cliente.
  4. Kinsta imporrà ai propri Sub-responsabili obblighi uguali o sostanzialmente equivalenti a quelli stabiliti nel presente DPA mediante contratto scritto. Kinsta sarà responsabile nei confronti del Cliente per l’adempimento da parte dei Sub-responsabili dei propri obblighi in materia di protezione dei dati rispetto ai Dati Personali del Cliente.

7. Valutazioni di Sicurezza e Impatto

  1. Kinsta garantisce che il proprio personale è soggetto a obblighi vincolanti di riservatezza in relazione ai Dati Personali del Cliente.
  2. Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, portata, contesto e scopi del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli interessati, Kinsta implementa adeguate tecniche e misure organizzative per garantire un livello di sicurezza adeguato al rischio.
  3. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla protezione dei dati in materia di sicurezza, valutazioni d’impatto e consultazioni con autorità di vigilanza o di regolamentazione.

8. Violazione dei Dati Personali

  1. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla Protezione dei Dati in relazione a una Violazione dei Dati Personali.
  2. In caso di rilevata Violazione dei Dati Personali, Kinsta fornirà tempestiva comunicazione ai contatti tecnici e di account del Cliente utilizzando i mezzi stabiliti per le comunicazioni di routine relative all’account.
  3. La nostra comunicazione includerà le seguenti informazioni nella misura in cui sono ragionevolmente disponibili per Kinsta al momento della notifica e Kinsta aggiornerà la sua comunicazione man mano che informazioni aggiuntive diverranno ragionevolmente disponibili: (a) le date e gli orari della Violazione dei Dati Personali; (b) i fatti di base alla base della scoperta della Violazione dei Dati Personali o la decisione di avviare un’indagine su una presunta Violazione dei Dati Personali, a seconda dei casi; (c) una descrizione dei Dati Personali del Cliente coinvolti nella Violazione dei Dati Personali, in modo specifico, o con riferimento alle serie di dati, e (d) le misure pianificate o in corso per porre rimedio o mitigare la vulnerabilità che dà origine alla Violazione dei Dati Personali.

9. Richieste di Dati dell’Interessato

  1. Tenendo conto della natura del trattamento, Kinsta assisterà il Cliente con adeguate misure tecniche e organizzative, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle leggi sulla Protezione dei Dati.
  2. Kinsta notificherà tempestivamente al Cliente nel caso in cui riceva una richiesta da un Interessato che invochi i propri diritti in relazione ai Dati Personali del Cliente, salvo diversamente proibito dalla legislazione applicabile; e, salvo quanto richiesto dalla legislazione applicabile, non intraprenderemo in modo indipendente alcuna azione in risposta a una richiesta di un Interessato senza previa istruzione scritta del Cliente.

10. Verifica e Ispezione

  1. Fatto salvo e condizionato da un accordo scritto di non divulgazione, Kinsta fornirà al Cliente le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA.
  2. Qualsiasi audit in loco sarà (i) soggetto e condizionato ad un ragionevole preavviso scritto a Kinsta, di non meno di sessanta (60) giorni; (ii) soggetto e condizionato ad un accordo scritto di non divulgazione e da un piano di audit scritto dettagliato rivisto e pre-approvato da Kinsta; (iii) limitato a una volta ogni tre (3) anni civili; (iv) a costi e spese ad esclusivo carico del Cliente; (v) limitato nella portata e allo scopo di valutare una violazione sospetta individualmente identificata in caso di mancato rispetto da parte di Kinsta delle disposizioni del presente DPA e solo dopo che il Cliente abbia esaurito tutti gli altri mezzi ragionevolmente determinati da Kinsta; e (vi) alla presenza di un rappresentante di Kinsta senza interrompere in modo irragionevole le attività commerciali di Kinsta.

11. Cancellazione o Restituzione dei Dati Personali del Cliente

Al momento della corretta risoluzione del Contratto e su indicazione scritta del Cliente, Kinsta adotterà misure ragionevoli per eliminare i Dati Personali del Cliente o restituire i Dati personali del Cliente e le relative copie al Cliente, fatte salve le leggi applicabili che richiedono la conservazione continuativa dei Dati Personali del Cliente da parte di Kinsta.

Appendice A

Elenco dei Sub-responsabili

  1. Google Cloud Platform: utilizziamo i server di Google Cloud per ospitare e proteggere i siti web dei clienti e archiviare i dati relativi ai siti web dei clienti.
  2. Pacchetto: per motivi di sicurezza, raccogliamo e analizziamo i registri, necessari per il funzionamento della nostra infrastruttura, sui server di pacchetti.
  3. Intercom: utilizziamo Intercom per comunicare con i nostri clienti e fornire loro supporto. Inoltre, questo viene utilizzato per gestire i contatti.
  4. Google Apps: utilizziamo Google/Google Apps per elaborare comunicazioni email e gestire documenti online.
  5. Sendgrid: SendGrid è un provider SMTP basato su cloud che utilizziamo per inviare email transazionali e di marketing.
  6. KeyCDN: utilizziamo KeyCDN per alimentare Kinsta CDN. Se si abilita Kinsta CDN su un sito web, le risorse statiche del sito verranno consegnate da KeyCDN che riceverà gli indirizzi IP dei visitatori del sito Web.
  7. Slack: usiamo Slack per comunicazione interna e collaborazione.
  8. Stripe: utilizziamo Stripe per elaborare i pagamenti dei clienti.