Kinsta Inc. Addendum sull’elaborazione dei dati

Aggiornato il: 7 luglio 2023

1. Introduzione e ambito di applicazione

1. Il presente Addendum al Trattamento dei Dati (“DPA“) è un addendum ai Termini di Servizio (“Termini“) e fa parte del Contratto (come definito nei Termini). Tutte le disposizioni dei Termini, incluse le limitazioni di responsabilità, si applicano e sono incorporate nel presente DPA. In caso di conflitto tra le disposizioni del presente DPA e le disposizioni dei Termini, prevarranno le disposizioni del presente DPA.
2. Aggiornamenti al DPA. Possiamo apportare modifiche al presente DPA in qualsiasi momento a nostra esclusiva discrezione. Forniremo un avviso via e-mail di qualsiasi modifica sostanziale al presente DPA al Proprietario dell’Azienda (definito di seguito). Potremmo anche pubblicare un avviso di tali modifiche in MyKinsta. L’uso continuato dei nostri Servizi per più di 30 giorni dopo la nostra notifica via e-mail al Proprietario dell’Azienda costituirà l’accettazione delle nostre modifiche al presente DPA. Se l’utente non accetta le modifiche al presente DPA, può chiudere l’Account e il Contratto ai sensi della Sezione 9 dei Termini.

2. Definizioni

I termini in maiuscolo che non sono definiti nel presente DPA avranno il significato previsto altrove nel Contratto. Inoltre, i seguenti termini definiti si applicano esclusivamente in relazione al presente DPA.

1. “Controllore“, “Azienda“, “Processore“, “Fornitore di Servizi“, “Soggetto dei Dati” (che include il “Consumatore“), “Trattamento“, “Dati Personali” (che include le “Informazioni Personali“) e “Vendere” (che include la “Condivisione” ai sensi del CCPA), e variazioni simili o correlate di tali termini, avranno i significati ad essi attribuiti nelle Leggi sulla Protezione dei Dati applicabili.
2. per “Dati Personali del Cliente” si intendono i Dati Personali trasmessi, memorizzati o altrimenti elaborati da o attraverso le Applicazioni del Cliente in relazione alla fornitura dei Servizi da parte di Kinsta.
3. per “Violazione dei Dati Personali” si intende qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale o non autorizzato ai Dati Personali del Cliente, ad esclusione dei tentativi non riusciti o delle attività che non compromettono la sicurezza o l’integrità dei Dati Personali del Cliente, inclusi, a titolo esemplificativo, i tentativi di login, i ping, le scansioni delle porte, gli attacchi denial of service e altri attacchi di rete ai firewall o ai sistemi in rete.
4. “Leggi sulla protezione dei dati dell’UE” indica il Regolamento generale sulla protezione dei dati dell’UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (“GDPR“), come implementato e integrato dalla legislazione nazionale di ciascuno Stato membro, il Data Protection Act 2018 del Regno Unito e il GDPR del Regno Unito, e la Legge svizzera sulla protezione dei dati e, in ogni caso, come di volta in volta modificato, sostituito o integrato.
5. “Leggi statunitensi sulla protezione dei dati” indica il California Consumer Privacy Act (come modificato dal California Privacy Rights Act) (collettivamente, il “CCPA“), il Colorado Privacy Act, il Connecticut Personal Data Privacy and Online Monitoring Act, l’Indiana Consumer Data Protection Act, l’Iowa Consumer Data Protection Act, il Montana Consumer Data Privacy Act, il Tennessee Information Protection Act, il Virginia Consumer Data Protection Act, lo Utah Consumer Privacy Act e, in ogni caso, come di volta in volta emendato, sostituito o integrato.
6. per “Leggi sulla Protezione dei Dati” si intendono le leggi e i regolamenti relativi alla privacy, all’integrità e alla sicurezza dei Dati Personali del Cliente, incluse le Leggi sulla Protezione dei Dati dell’Unione Europea e le Leggi sulla Protezione dei Dati degli Stati Uniti, che si applicano al Trattamento dei Dati Personali del Cliente da parte di Kinsta.
7. per “Trasferimento Internazionale” si intende un’esportazione di
   1. Dati personali del cliente,
   2. disciplinata da una qualsiasi delle Leggi sulla Protezione dei Dati dell’Unione Europea,
   3. verso un paese terzo al di fuori dello Spazio Economico Europeo (“SEE”), del Regno Unito (“UK”) o della Svizzera,
   4. che non sia stato designato dalla Commissione Europea, dal Regno Unito o dalla Svizzera per garantire un livello di protezione adeguato.
8. “SCC” indica le clausole contrattuali standard, come adottate dalla Decisione di esecuzione (UE) 2021/914 della Commissione, del 4 giugno 2021, relativa alle clausole contrattuali standard per il trasferimento di dati personali a paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
9. “Addendum del Regno Unito” indica l’Addendum sul trasferimento internazionale dei dati alle Clausole Contrattuali Standard della Commissione UE emesso dall’Information Commissioner’s Office del Regno Unito, VERSIONE B1.0, in vigore dal 21 marzo 2022.

3. Ruoli, obblighi generali e disposizioni CCPA

1. Il Cliente è il Titolare e l’Azienda e Kinsta è il Responsabile del trattamento e il Fornitore di servizi in relazione ai Dati personali del Cliente. Kinsta tratterà i Dati Personali dell’Utente solo allo scopo di fornire i Servizi in conformità alle istruzioni documentate dell’Utente, che includono le disposizioni del Contratto, a meno che non sia altrimenti richiesto per conformarsi a qualsiasi legge sulla protezione dei dati. Informeremo il Cliente se le sue istruzioni violano le Leggi sulla Protezione dei Dati. La natura, lo scopo e la durata del Trattamento sono indicati nell’Allegato I delle SCC.
2. Kinsta certifica, comprende e concorda che non dovrà
   1. Vendere i Dati Personali del Cliente,
   2. conservare, utilizzare o divulgare i Dati Personali del Cliente per qualsiasi scopo (incluso qualsiasi scopo commerciale) che non sia quello specifico dell’esecuzione dei Servizi ai sensi del Contratto, a meno che non sia espressamente consentito dal CCPA, oppure
   3. conservare, utilizzare o divulgare i Dati personali del cliente al di fuori del rapporto commerciale diretto tra l’utente e Kinsta, a meno che non sia espressamente consentito dalla CCPA.
3. Il Cliente e Kinsta dovranno rispettare le leggi sulla protezione dei dati. Il Cliente dovrà ottenere tutte le autorizzazioni, i consensi, le liberatorie o i permessi necessari e fornire tutte le notifiche sulla privacy richieste in merito ai Dati personali del Cliente. A scanso di equivoci, salvo quanto diversamente previsto nel presente DPA, il Cliente sarà l’unico responsabile dell’accuratezza, della qualità e della legalità di tutti i Dati Personali del Cliente e delle basi su cui sono stati raccolti dal Soggetto interessato.

4. Valutazioni di sicurezza e di impatto

1. Kinsta garantirà che il suo personale sia soggetto a obblighi vincolanti di riservatezza in relazione ai Dati Personali del Cliente.
2. Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli Interessati, Kinsta implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, comprese le misure stabilite nell’Allegato II delle SCC.
3. Tenendo conto della natura del Trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla protezione dei dati in materia di sicurezza, valutazioni d’impatto e consultazioni con le autorità di vigilanza o le autorità di regolamentazione.

5. Violazione dei dati personali

1. Tenendo conto della natura del Trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle Leggi sulla Protezione dei Dati in relazione a una Violazione dei Dati Personali.
2. In caso di scoperta di una violazione dei dati personali, Kinsta fornirà, senza indebito ritardo, un avviso scritto ai contatti tecnici e all’account del Cliente, compreso il Titolare dell’azienda, utilizzando i mezzi stabiliti per le comunicazioni di routine relative all’account.
3. L’avviso includerà quanto segue, nella misura in cui è noto (e aggiornato non appena saranno ragionevolmente disponibili ulteriori informazioni):
   1. le date e gli orari della violazione dei dati personali,
   2. i fatti fondamentali alla base della scoperta della violazione dei dati personali o della decisione di avviare un’indagine su una sospetta violazione dei dati personali, a seconda dei casi,
   3. una descrizione dei Dati Personali del Cliente coinvolti nella Violazione dei Dati Personali, in modo specifico o con riferimento alle categorie di dati, e
   4. le misure previste o in corso per rimediare o attenuare la vulnerabilità che ha dato origine alla violazione dei dati personali.

6. Richieste dell’interessato

1. Tenendo conto della natura del Trattamento, Kinsta assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle Leggi sulla Protezione dei Dati.
2. Kinsta informerà tempestivamente il Cliente qualora riceva una richiesta da parte di un Soggetto interessato di far valere i propri diritti in relazione ai Dati personali del Cliente, a meno che non sia altrimenti vietato dalla legge applicabile. Kinsta non intraprenderà autonomamente alcuna azione in risposta a una richiesta di un Soggetto interessato senza la preventiva istruzione scritta del Cliente, ad eccezione di quanto richiesto dalla legge applicabile.

7. Data center e trasferimenti internazionali

1. L’utente sceglie il/i data center di Google Cloud Platform in cui saranno ospitate le Applicazioni del Cliente. L’utente riconosce, accetta e comprende che:
   1. Tutti i Dati Personali del Cliente saranno automaticamente trasferiti e archiviati nel data center di Google scelto dall’utente.
   2. A seconda della scelta dell’utente, i Dati personali dell’utente potranno essere trasferiti dal SEE, dal Regno Unito o dalla Svizzera al paese in cui si trova il data center di Google.
2. Kinsta e Google hanno concordato l’Addendum sul trattamento dei dati nel cloud (compresi gli SCC). Per ulteriori informazioni, consultare gli impegni di Google in materia di trasferimenti transfrontalieri nella sezione “Trasferimento internazionale dei dati” qui: https://cloud.google.com/security/gdpr/.
3. Nonostante la scelta del data center da parte del Cliente, alcuni aspetti dei Servizi potrebbero richiedere trasferimenti internazionali. Il Cliente autorizza tali Trasferimenti Internazionali dei Dati Personali del Cliente al solo scopo di fornire i Servizi. I Trasferimenti Internazionali sono soggetti al MODULO DUE (dal responsabile del trattamento all’incaricato del trattamento) delle SCC. Per i Trasferimenti Internazionali dalla Svizzera, le parti concordano che tutti gli adattamenti e gli emendamenti alle SCC richiesti dal Commissario Federale Svizzero per la Protezione dei Dati e l’Informazione sono incorporati nelle SCC (gli “Emendamenti Svizzeri“). Per i Trasferimenti Internazionali dal Regno Unito, le parti accettano l’Addendum per il Regno Unito. Le informazioni della Tabella dell’Addendum del Regno Unito sono le seguenti: Tabella 1: si veda l’Allegato I della SCC; Tabella 2: si veda la Sezione 7.D; Tabella 3: si vedano gli Allegati I e II della SCC; l’elenco dei Responsabili delegati al trattamento dei dati di Kinsta si trova qui : https://kinsta.com/it/note-legali/responsabili-delegati-trattamento-dati; Tabella 4: l’Importatore e l’Esportatore possono porre fine all’Addendum del Regno Unito come indicato nella Sezione 19 dello stesso.
4. Per quanto riguarda le disposizioni facoltative contenute nelle SCC, negli Emendamenti svizzeri e nell’Addendum britannico, le parti concordano quanto segue:
   1. Le parti accettano la Clausola 7.
   2. Le parti scelgono l’OPZIONE 2 della Clausola 9(a).
   3. Le parti non accettano le disposizioni opzionali della Clausola 11(a).
   4. Le parti scelgono l’OPZIONE 1 della Clausola 17 e lo Stato membro sarà l’Irlanda, il Regno Unito o la Svizzera, a seconda dei casi.
   5. Le parti concordano che lo Stato membro di cui alla Clausola 18(b) sarà l’Irlanda, il Regno Unito o la Svizzera, a seconda dei casi.
5. Le SCC, gli Emendamenti della Svizzera e l’Addendum del Regno Unito, a seconda dei casi, sono incorporati come riferimento nel presente DPA per qualsiasi Trasferimento Internazionale. L’accettazione dell’Accordo da parte delle parti equivarrà al loro rispettivo accordo di rispettare le relative SCC, gli Emendamenti della Svizzera e l’Addendum del Regno Unito in relazione a qualsiasi Trasferimento Internazionale.

8. Responsabili delegati al trattamento dei dati

1. Kinsta si avvale di subappaltatori terzi che trattano i Dati Personali del Cliente (“Responsabili delegati“) allo scopo di fornire i Servizi. Un elenco aggiornato dei Responsabili delegati al trattamento dei dati è disponibile qui: https://kinsta.com/legal/subprocessors/ (l'”Elenco dei Responsabili delegati“). L’Utente autorizza Kinsta ad avvalersi di tali Subprocessori ai fini della fornitura dei Servizi.
2. Prima di aggiungere o sostituire i Responsabili delegati, Kinsta comunicherà per iscritto tali modifiche al contatto del Proprietario dell’Azienda indicato in MyKinsta. La mancata obiezione scritta del Cliente a un nuovo Responsabile delegato entro 14 giorni dalla notifica del nuovo Responsabile delegato da parte di Kinsta costituirà l’autorizzazione del Cliente al nuovo Responsabile delegato.
3. Qualora Kinsta stabilisca, a sua esclusiva discrezione, di non poter ragionevolmente accogliere l’obiezione tempestiva del Cliente nei confronti di un Responsabile delegato, su comunicazione di Kinsta, il Cliente potrà scegliere di risolvere l’Accordo ai sensi delle disposizioni di risoluzione contenute nei Termini di Servizio, che costituiranno l’unico ed esclusivo rimedio del Cliente.
4. Kinsta imporrà ai suoi Responsabili delegati obblighi uguali o equivalenti a quelli stabiliti nel presente DPA mediante contratto scritto. Kinsta sarà responsabile nei confronti del Cliente per l’adempimento da parte dei Responsabili delegati dei propri obblighi di protezione dei dati in relazione ai Dati personali del Cliente.

9. Audit e ispezioni

1. In base a un accordo scritto di riservatezza e non divulgazione, Kinsta fornirà al Cliente le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi previsti dal presente DPA.
2. Qualsiasi audit richiesto dal Cliente per valutare e verificare la conformità al presente DPA sarà (i) soggetto e condizionato a un ragionevole preavviso scritto, non inferiore a sessanta (60) giorni, a Kinsta; (ii) soggetto e condizionato a un accordo scritto di riservatezza e non divulgazione e a un piano di audit scritto e dettagliato rivisto e pre-approvato da Kinsta; (iii) limitato a una volta ogni dodici (12) mesi; (iv) a spese e costi esclusivi del Cliente; (v) limitatamente all’ambito e allo scopo di valutare una sospetta inadempienza specificamente identificata da parte di Kinsta alle disposizioni del presente DPA e solo dopo che il Cliente abbia esaurito tutti gli altri mezzi ragionevoli, come stabilito da Kinsta; e (vi) in presenza virtuale o fisica di un rappresentante di Kinsta, senza interrompere in modo irragionevole le operazioni commerciali di Kinsta.

10. Cancellazione o restituzione dei dati personali del cliente

In caso di risoluzione del Contratto e su richiesta scritta del Cliente, Kinsta adotterà misure ragionevoli per cancellare i Dati Personali del Cliente o restituire i Dati Personali del Cliente e le relative copie al Cliente, fatte salve le leggi applicabili o altri obblighi di Kinsta che richiedono la conservazione dei Dati Personali del Cliente da parte di Kinsta.

SCC Allegato I

A. ELENCO DELLE PARTI

Esportatore di dati:

Nome: L’entità identificata come Cliente.

Indirizzo: L’indirizzo del Cliente registrato in MyKinsta o come altrimenti specificato nel Contratto.

Nome, posizione e dettagli del contatto: I dati di contatto del Proprietario dell’Azienda associata all’Account del Cliente, o come altrimenti specificato nel Contratto.

Attività relative ai dati trasferiti ai sensi delle Clausole: Gestione delle Applicazioni del Cliente sulla piattaforma di hosting di Kinsta

Firma e data: Le parti concordano che l’accettazione o l’esecuzione del Contratto, a seconda dei casi, costituirà l’esecuzione delle presenti SCC da parte di entrambe le parti.

Ruolo: Titolare del trattamento

Importatore di dati:

Nome: Kinsta Inc.
Indirizzo: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, USA
Nome, posizione e dettagli del contatto: Kinsta Data Privacy team [email protected] o per posta all’indirizzo sopra indicato

Attività relative ai dati trasferiti ai sensi delle Clausole: Fornitura dei Servizi
Firma e data: Le parti concordano che l’accettazione o l’esecuzione dell’Accordo, a seconda dei casi, costituirà l’esecuzione delle presenti SCC da parte di entrambe le parti.

Ruolo: Responsabile del trattamento

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali vengono trasferiti

Qualsiasi persona che visiti, utilizzi o acceda alle Applicazioni del Cliente, o i cui dati personali siano trasmessi, memorizzati o altrimenti elaborati dal Cliente attraverso le Applicazioni del Cliente, tra cui, a titolo esemplificativo: dipendenti e altro personale, clienti e committenti (compreso il loro personale), visitatori del sito web o utenti finali, fornitori (compreso il loro personale), parenti e collaboratori dei suddetti, consiglieri, consulenti e altri esperti professionali, azionisti, membri o sostenitori, studenti e alunni.

Categorie di dati personali trasferiti

Tutte le categorie consentite dal Cliente per essere trasmesse, archiviate o altrimenti elaborate attraverso le Applicazioni del Cliente. Tali categorie possono includere, ad esempio, informazioni di contatto, dettagli sull’occupazione, informazioni finanziarie, dettagli sull’istruzione e la formazione, identificativi di un’autorità pubblica, famiglia, stile di vita e circostanze sociali.

Dati sensibili trasferiti (se applicabile) e restrizioni applicate

Il Cliente può consentire la trasmissione, l’archiviazione o il trattamento di dati sensibili attraverso le Applicazioni del Cliente. A queste categorie di dati personali (se presenti) si applicano le restrizioni e le garanzie specificate nell’Allegato II. Il Cliente sarà responsabile di informare Kinsta delle specifiche categorie di dati sensibili trasferiti e di qualsiasi ulteriore restrizione applicata.

Frequenza del trasferimento
Continuo

Natura del trattamento
Trattamento in relazione alla fornitura dei Servizi, incluso l’hosting delle Applicazioni del Cliente e il relativo supporto.

Finalità del trasferimento dei dati e dell’ulteriore trattamento
Fornitura dei Servizi

Periodo di conservazione dei dati personali
Ai sensi della DPA, Sezione 10

Per i trasferimenti a responsabili delegati del trattamento, specificare l’oggetto, la natura e la durata del trattamento
L’oggetto, la natura e la durata del trattamento da parte dei responsabili delegati sono indicati nel presente Allegato I, Sezione B.

C. AUTORITÀ DI CONTROLLO COMPETENTE

Identificare l’autorità o le autorità di controllo competenti in conformità con la clausola 13
Irlanda

SCC Allegato II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI.

• Tutti i Dati personali del cliente trasferiti da Kinsta sono crittografati durante il transito.
• Tutti i Dati Personali del Cliente archiviati sull’infrastruttura Google Cloud (tutte le Applicazioni del Cliente e i log di accesso) sono crittografati a riposo.
• Le funzioni di sicurezza di Cloudflare, tra cui il firewall per applicazioni web (WAF) e la protezione DDoS, sono integrate nei Servizi.
• Abbiamo politiche di sicurezza delle informazioni che limitano le attività dei membri del nostro team relative al trattamento dei Dati personali dei clienti alle sole attività di trattamento necessarie per la fornitura dei Servizi.
• Tutti i membri del team firmano un accordo comprensivo di clausole di non divulgazione prima di accedere ai Dati personali dei clienti.
• Abbiamo un team di sicurezza dedicato a tempo pieno.
• Abbiamo identificato un gruppo di supervisione della sicurezza che comprende membri dei nostri team di ingegneria, operativo, legale ed esecutivo.
• I responsabili delegati dei Dati Personali del Cliente vengono utilizzati solo dopo una revisione e un’approvazione formale.
• Compiamo sforzi ragionevoli per elaborare, trasferire e conservare solo la quantità e il tipo di dati necessari per fornire i Servizi.
• Abbiamo stabilito politiche e pratiche di gestione dell’identità e degli accessi, seguendo i principi del minimo privilegio e del controllo degli accessi basato sui ruoli (RBAC).
• Tutti i membri del team ricevono una formazione sulle questioni relative alla privacy dei dati e sulle nostre politiche.
• Google Cloud ha implementato controlli sull’accesso fisico per limitare l’accesso all’hardware fisico dei centri dati. Google Cloud ha inoltre ricevuto diverse certificazioni e audit relativi alla sicurezza, tra cui il rapporto SOC 2 Type II e la certificazione ISO 27001.
• Ove applicabile, l’autenticazione a due fattori è stata attivata su tutti gli account dei membri del team che hanno accesso ai Dati personali dei clienti.
• L’accesso di root ai container e ai server dei clienti avviene esclusivamente tramite chiave privata unica e i membri del team hanno a disposizione solo l’accesso minimo necessario per svolgere le loro mansioni.
• L’accesso root è possibile solo attraverso punti di accesso alla rete dedicati e non gli stessi punti di accesso dei normali clienti.
• Kinsta offre certificati SSL gratuiti e consente ai clienti di forzare le connessioni HTTPS per crittografare tutto il traffico delle applicazioni del cliente in transito.
• Kinsta limita le connessioni non HTTP solo ai protocolli sicuri (SSH, SFTP).
• Le applicazioni dei clienti sono protette da un firewall personalizzato gestito dal team di ingegneri di Kinsta.
• Vengono create diverse forme di backup regolari. I clienti possono scaricare facilmente i backup per trasferirli su altri host (portabilità) o per archiviarli su altri servizi.
• I clienti possono avviare la cancellazione delle applicazioni del cliente dalla piattaforma. Alla cessazione dei Servizi, Kinsta compie ogni ragionevole sforzo per cancellare tutti i Dati Personali del Cliente entro 45 giorni.
• I pacchetti e i software del server sono tenuti aggiornati dal nostro team di ingegneri. Gli aggiornamenti di sicurezza vengono applicati tempestivamente.

Versioni precedenti