Aggiornato il: 24 agosto 2021

1. Introduzione e Ambito di Applicazione

  1. Il presente Addendum al Trattamento dei Dati (“Data Processing Addendum” – “DPA“) è un addendum ai Termini di Servizio (“Termini“). Tutte le disposizioni dei Termini si applicano e sono incorporate nella presente DPA, ma in caso di conflitto tra la presente DPA e le disposizioni dei Termini, prevarranno le disposizioni della presente DPA.
  2. La presente DPA si applica ai clienti solo se e nella misura in cui (a) Kinsta tratta i Dati Personali del Cliente (definiti di seguito) per o per conto del cliente ai sensi dell’Accordo (b) e le leggi sulla Protezione dei Dati si applicano a tali Dati Personali del Cliente.
  3. Aggiornamenti della DPA. Ci riserviamo il diritto di apportare modifiche alla presente DPA in qualsiasi momento a nostra esclusiva discrezione. Se apportiamo modifiche alla presente DPA, forniremo un avviso di tali modifiche rivedendo la data all’inizio della presente DPA. L’uso continuato dei nostri Servizi dopo la notifica delle modifiche costituirà accettazione di tali modifiche. Si prega di rivedere periodicamente la presente DPA e verificare la presenza di eventuali aggiornamenti.

2. Definizioni

I termini in maiuscolo che non sono definiti nel presente DPA assumono il significato fornito altrove nell’Accordo. Inoltre, i seguenti termini qui definiti si applicano esclusivamente al presente DPA.

  1. Titolare“, “Responsabile del trattamento“, “Interessato“, “Trattamento“, “Dati Personali” e “Violazione dei Dati Personali” avranno i significati loro attribuiti nelle Leggi sulla Protezione dei Dati.
  2. Per “Dati Personali del Cliente” si intende qualsiasi dato personale dell’utente finale soggetto alle leggi sulla protezione dei dati che il cliente fornisce, trasferisce o rende accessibile a Kinsta in relazione ai servizi.
  3. Leggi sulla Protezione dei Dati” indica il regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo, del 27 aprile 2016, e qualsiasi legge di attuazione simile o correlata degli Stati membri dell’Unione Europea o dello Spazio Economico Europeo, del Regno Unito o della Svizzera.

3. Ruoli delle Parti

  1. Il Cliente è il Titolare del Trattamento (Controller) e Kinsta è il Responsabile del Trattamento (Processor) in relazione ai Dati Personali del Cliente. Kinsta tratterà i dati personali del cliente solo in conformità con le istruzioni documentate del cliente, che comprendono le disposizioni del Contratto, a meno che non sia richiesto diversamente per ottemperare alle leggi sulla protezione dei dati. Vi informeremo se, a nostro avviso, le vostre istruzioni violano le leggi sulla protezione dei dati.
  2. Il Cliente e Kinsta devono rispettare le Leggi sulla Protezione dei Dati. Il Cliente deve ottenere le autorizzazioni, i consensi, i rilasci o le autorizzazioni richiesti e fornire tutte le note sulla privacy richieste in merito ai Dati Personali del Cliente. A scanso di equivoci, il Cliente sarà l’unico responsabile per l’accuratezza, la qualità e la legittimità di tutti i Dati Personali del Cliente e delle basi su cui sono raccolti dall’interessato.

4. Natura, Finalità e Durata del Trattamento

  1. Kinsta tratterà i Dati Personali del Cliente come necessario per eseguire i Servizi – che è generalmente limitato all’hosting passivo dei Siti Web Clienti e al relativo supporto – o per proteggere i diritti legali di Kinsta, per la durata del presente Accordo, salvo diversamente concordato per iscritto.
  2. Il trasferimento dei Dati Personali del Cliente a Kinsta in relazione ai Servizi è determinato e controllato dal Cliente a sua esclusiva discrezione.
  3. Kinsta può trattare le seguenti categorie di dati personali del cliente: qualsiasi dato personale raccolto, utilizzato o altrimenti trattato da soggetti interessati dell’utente finale in connessione con i siti web dei clienti.
  4. Kinsta può trattare i dati personali dei clienti dalle seguenti categorie di soggetti: Utenti Finali dei Siti Web dei Clienti.

5. Trasferimenti transfrontalieri

  1. Scegliete il/i data center di Google Cloud Platform dove saranno ospitati i vostri siti web. L’utente riconosce, accetta e comprende che (a) tutti i suoi Dati Personali del Cliente saranno automaticamente trasferiti e memorizzati nel data center di Google scelto dall’utente e (b) i Dati Personali del Cliente possono essere trasferiti dallo Spazio Economico Europeo (“SEE”), dal Regno Unito o dalla Svizzera al paese in cui si trova il data center di Google, a seconda della scelta dell’utente.
  2. Kinsta e Google hanno accettato i termini del Google Cloud Platform Data Processing and Security Terms and EU Model Contract Clauses. Per ulteriori informazioni, si leggano gli impegni di Google relativi ai trasferimenti transfrontalieri nella sezione “Trasferimento internazionale dei dati” qui: https://cloud.google.com/security/gdpr/.
  3. Il Cliente autorizza il trasferimento dei Dati Personali del Cliente in qualsiasi giurisdizione al di fuori del SEE (Spazio Economico Europeo), inclusi gli Stati Uniti, allo scopo di fornire i Servizi. In qualità di controllore e/o esportatore dei Dati Personali del Cliente, il Cliente è responsabile di garantire che tali trasferimenti siano conformi alle leggi sulla Protezione dei Dati.

6. Sub-responsabili

  1. Kinsta si avvale di subappaltatori terzi che elaborano i dati personali dei clienti (“Sub-processor“) ai fini della fornitura dei servizi. Un elenco aggiornato dei sub-processor è disponibile nell’Appendice A dell’accordo di protezione dei dati online di Kinsta, che si trova qui: https://kinsta.com/it/appendice-riservatezza-dati/ (“Elenco dei sub-processor”). Il Cliente autorizza Kinsta a dare incarico a questi sub-responsabili allo scopo di fornire i Servizi.
  2. Kinsta può aggiornare di tanto in tanto l’Elenco dei sub-processor, e tali aggiornamenti saranno l’unico mezzo per fornire al Cliente la notifica delle modifiche dei sub-processor. Il Cliente ha la responsabilità di controllare e rivedere regolarmente l’Elenco dei sub-processor. La mancata obiezione scritta del cliente a un nuovo sub-processor entro quattordici (14) giorni dalla pubblicazione da parte di Kinsta del nuovo sub-processor nell’elenco dei sub-processor costituisce accettazione del cliente del nuovo sub-processor.
  3. Se Kinsta stabilisce a sua esclusiva discrezione che non può ragionevolmente accogliere l’obiezione tempestiva del Cliente a un Sub-responsabile, previa comunicazione di Kinsta, il Cliente può scegliere di risolvere il Contratto in conformità con le disposizioni di risoluzione nei Termini di Servizio, che saranno di esclusiva competenza e tutela del Cliente.
  4. Kinsta imporrà ai propri Sub-responsabili obblighi uguali o sostanzialmente equivalenti a quelli stabiliti nel presente DPA mediante contratto scritto. Kinsta sarà responsabile nei confronti del Cliente per l’adempimento da parte dei Sub-responsabili dei propri obblighi in materia di protezione dei dati rispetto ai Dati Personali del Cliente.

7. Valutazioni di Sicurezza e Impatto

  1. Kinsta garantisce che il proprio personale è soggetto a obblighi vincolanti di riservatezza in relazione ai Dati Personali del Cliente.
  2. Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, portata, contesto e scopi del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli interessati, Kinsta implementa adeguate tecniche e misure organizzative per garantire un livello di sicurezza adeguato al rischio.
  3. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla protezione dei dati in materia di sicurezza, valutazioni d’impatto e consultazioni con autorità di vigilanza o di regolamentazione.

8. Violazione dei Dati Personali

  1. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla Protezione dei Dati in relazione a una Violazione dei Dati Personali.
  2. In caso di rilevata Violazione dei Dati Personali, Kinsta fornirà tempestiva comunicazione ai contatti tecnici e di account del Cliente utilizzando i mezzi stabiliti per le comunicazioni di routine relative all’account.
  3. La nostra comunicazione includerà le seguenti informazioni nella misura in cui sono ragionevolmente disponibili per Kinsta al momento della notifica e Kinsta aggiornerà la sua comunicazione man mano che informazioni aggiuntive diverranno ragionevolmente disponibili: (a) le date e gli orari della Violazione dei Dati Personali; (b) i fatti di base alla base della scoperta della Violazione dei Dati Personali o la decisione di avviare un’indagine su una presunta Violazione dei Dati Personali, a seconda dei casi; (c) una descrizione dei Dati Personali del Cliente coinvolti nella Violazione dei Dati Personali, in modo specifico, o con riferimento alle serie di dati, e (d) le misure pianificate o in corso per porre rimedio o mitigare la vulnerabilità che dà origine alla Violazione dei Dati Personali.

9. Richieste di Dati dell’Interessato

  1. Tenendo conto della natura del trattamento, Kinsta assisterà il Cliente con adeguate misure tecniche e organizzative, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle leggi sulla Protezione dei Dati.
  2. Kinsta notificherà tempestivamente al Cliente nel caso in cui riceva una richiesta da un Interessato che invochi i propri diritti in relazione ai Dati Personali del Cliente, salvo diversamente proibito dalla legislazione applicabile; e, salvo quanto richiesto dalla legislazione applicabile, non intraprenderemo in modo indipendente alcuna azione in risposta a una richiesta di un Interessato senza previa istruzione scritta del Cliente.

10. Verifica e Ispezione

  1. Fatto salvo e condizionato da un accordo scritto di non divulgazione, Kinsta fornirà al Cliente le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA.
  2. Qualsiasi audit in loco sarà (i) soggetto e condizionato ad un ragionevole preavviso scritto a Kinsta, di non meno di sessanta (60) giorni; (ii) soggetto e condizionato ad un accordo scritto di non divulgazione e da un piano di audit scritto dettagliato rivisto e pre-approvato da Kinsta; (iii) limitato a una volta ogni tre (3) anni civili; (iv) a costi e spese ad esclusivo carico del Cliente; (v) limitato nella portata e allo scopo di valutare una violazione sospetta individualmente identificata in caso di mancato rispetto da parte di Kinsta delle disposizioni del presente DPA e solo dopo che il Cliente abbia esaurito tutti gli altri mezzi ragionevolmente determinati da Kinsta; e (vi) alla presenza di un rappresentante di Kinsta senza interrompere in modo irragionevole le attività commerciali di Kinsta.

11. Cancellazione o Restituzione dei Dati Personali del Cliente

Al momento della corretta risoluzione del Contratto e su indicazione scritta del Cliente, Kinsta adotterà misure ragionevoli per eliminare i Dati Personali del Cliente o restituire i Dati personali del Cliente e le relative copie al Cliente, fatte salve le leggi applicabili che richiedono la conservazione continuativa dei Dati Personali del Cliente da parte di Kinsta.

Appendice A

Elenco dei Sub-responsabili