Addendum per il trattamento dei dati RingCentral

Data Processing Agreement (DPA)

Il presente Addendum per il trattamento dei dati (Data Processing Agreement - "DPA") è stipulato, ai sensi dell’art. 28 del Regolamento UE 679/2016 (“GDPR”), tra RingCentral e il Cliente (ciascuno una "Parte", insieme le "Parti"), ed è complementare all'accordo stipulato tra le Parti a cui è allegato ("Accordo") per la fornitura dei Servizi (come definiti di seguito) al Cliente.

I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno lo stesso significato che hanno nell'Accordo.

1.    Definizioni
1.1    Ai fini del presente DPA:
        (a)   Per "Affiliato" si intende una persona o un'entità controllata da una Parte del presente Addendum, che controlla una Parte del presente Addendum, o che è sotto controllo comune con una Parte del presente Addendum; per "controllo" si intende la proprietà effettiva di più del cinquanta per cento (50%) dei diritti di voto o delle partecipazioni di un'entità esistente.
        (b)    "Accordo" indica il principale accordo tra il Cliente e RingCentral per la fornitura di qualsiasi servizio RingCentral al Cliente (ciascuno un "Servizio" e collettivamente i "Servizi").
        (c)    "Leggi applicabili sulla protezione dei dati" indica tutte le leggi sulla protezione dei dati e sulla privacy applicabili a RingCentral nel trattamento dei dati personali ai sensi del presente DPA, incluso il GDPR.
        (d)    "Titolare" è l'entità che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei Dati personali. 
        (e)    "Dati personali del Cliente" indica qualsiasi dato personale che RingCentral tratta per conto del Cliente in qualità di Responsabile del trattamento ai sensi dell'Accordo. 
        (f)    "Dati personali" significa qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito dalle Leggi applicabili sulla protezione dei dati.
        (g)    "Responsabile del trattamento" indica l'entità che tratta i Dati personali per conto del Titolare.
        (h)    "Incidente di sicurezza" significa una violazione della sicurezza che porta a qualsiasi distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali del Cliente che compromette la privacy, la sicurezza o la riservatezza di tali Dati personali.
 
2.    Ambito di applicazione del DPA
2.1    Il presente DPA si applica nella misura in cui RingCentral tratta i Dati personali del Cliente per conto di un Cliente in qualità di Responsabile del trattamento, come definito dalle Leggi applicabili sulla protezione dei dati e descritto in dettaglio nel Allegato A. Qualsiasi trattamento di Dati Personali in qualità di Titolare da parte di RingCentral è al di fuori del campo di applicazione del presente DPA.
 
3.    Ruoli e responsabilità
3.1    Ruoli delle parti. Tra le Parti e ai fini del presente DPA il Cliente sarà il Titolare dei Dati personali del Cliente trattati da RingCentral ai sensi dell’Accordo in qualità di Responsabile per conto del Cliente. RingCentral rispetterà gli obblighi di un Titolare ai sensi delle Leggi applicabili sulla protezione dei dati nella misura in cui tratta i Dati personali in qualità di Titolare per i legittimi scopi commerciali di RingCentral, incluso quanto necessario per il funzionamento delle comunicazioni in cloud offerte, e quanto necessario per rispettare la legge applicabile.
 
3.2    Obblighi del Cliente. Il Cliente si impegna a:
        (a)    Assicurarsi di poter comunicare legittimamente i Dati personali del Cliente a RingCentral per gli scopi indicati nell'Accordo;
        (b)    Rispettare le Leggi applicabili sulla protezione dei dati nell'uso dei Servizi, e la propria raccolta ed elaborazione dei Dati Personali, inclusi i Dati personali del Cliente. Il Cliente riconosce e conferma che il Cliente ha informato i propri dipendenti (attuali e futuri) e il suo comitato aziendale, ove applicabile, che nell'ambito dei Servizi il Cliente ha accesso ai dati sul traffico; e
        (c)    Trattare categorie speciali di Dati personali o dati sensibili (come definiti dalle Leggi applicabili sulla protezione dei dati), o Dati personali riguardanti bambini o minori, o relativi a condanne penali e reati, legittimamente e basandosi su una base giuridica valida in conformità alle Leggi applicabili sulla protezione dei dati. Le Parti riconoscono che i Servizi non sono progettati per riconoscere e/o classificare tali dati.
 
3.3    Limitazione dello scopo
        (a)    Eccetto dove diversamente richiesto dalla legge applicabile, RingCentral tratterà i Dati personali del Cliente (i) in conformità con le istruzioni documentate del Cliente (le quali istruzioni sono indicate nell'Accordo, nel presente DPA e nella configurazione e nell'utilizzo dei Servizi da parte del Cliente, in conformità con le condizioni d'uso applicabili), (ii) allo scopo di fornire, monitorare, sviluppare, migliorare e mantenere i Servizi.
        (b)    RingCentral non venderà in alcun caso a terzi Dati personali del cliente.
 
3.4    Riservatezza del trattamento. RingCentral garantirà che qualsiasi persona autorizzata al trattamento dei Dati personali del Cliente sia soggetta ad un obbligo di riservatezza (contrattuale o di legge).
 
3.5    Sicurezza. RingCentral manterrà misure di sicurezza tecniche e organizzative appropriate per salvaguardare la sicurezza dei Dati personali del Cliente. RingCentral manterrà un programma di sicurezza delle informazioni e di gestione dei rischi basato sulle migliori pratiche commerciali per preservare la riservatezza, l'integrità e l'accessibilità dei Dati personali del Cliente con misure amministrative, tecniche e fisiche conformi agli standard e alle pratiche industriali generalmente riconosciute. Le misure di sicurezza di RingCentral sono stabilite nell'Addendum sulla sicurezza di RingCentral all'indirizzo https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf
 
3.6    Incidenti di sicurezza. Nel momento in cui verrà a conoscenza di un Incidente di Sicurezza, RingCentral notificherà all'Utente senza indebito ritardo le informazioni di contatto che l'Utente ha fornito nel Portale Amministrativo e fornirà le informazioni tempestive che l'Utente potrà ragionevolmente richiedere, anche per consentire all'Utente di adempiere a qualsiasi obbligo di segnalazione di violazione dei dati ai sensi delle Leggi applicabili sulla protezione dei dati.
 
3.7    Fornitura di rapporti sulla sicurezza. RingCentral selezionerà un revisore terzo indipendente e qualificato per condurre, a spese di RingCentral, almeno un audit annuale sulla sicurezza dei Servizi e degli ambienti, in conformità a standard riconosciuti a livello internazionale come ISO27001, SOC 2, standard di tipo II o equivalenti. Su richiesta del Cliente e sotto accordo di non divulgazione, RingCentral fornirà una copia dei rapporti di audit più recenti (o un'attestazione di sicurezza simile) per documentare la conformità al requisito di cui sopra, laddove tale certificazione sia disponibile. Tale rapporto di audit è un'informazione confidenziale di RingCentral e il Cliente non potrà distribuirlo a terzi senza l'approvazione scritta di RingCentral.
 
3.8    Cancellazione o restituzione dei dati. Alla risoluzione o alla scadenza del Contratto, RingCentral cancellerà i Dati personali del Cliente (incluse le copie) in possesso di RingCentral o, su richiesta del Cliente, fornirà opzioni per restituire i Dati Personali al Cliente, salvo nella misura in cui RingCentral sia obbligata dalla legge applicabile a conservare in tutto o in parte i Dati personali del Cliente.
 
4.    Obblighi
4.1    Sub-responsabili. Il Cliente accetta che RingCentral e le sue affiliate possano nominare affiliati RingCentral e sub-responsabili di terze parti (collettivamente, "Sub-responsabili") per trattare i dati personali per conto di RingCentral. A seconda della portata e della natura del trattamento, RingCentral imporrà a tali Sub-responsabili condizioni di protezione dei dati che proteggano i Dati personali del Cliente ad uno standard equivalente a quello previsto dal presente DPA e rimarrà responsabile per qualsiasi violazione del DPA causata da un sub-responsabile. I Sub-responsabili nominati da RingCentral in relazione a ciascuno dei Servizi al momento dell'Accordo sono indicati nell'elenco dei Sub-responsabili di RingCentral disponibile all'indirizzo https://www.ringcentral.com/legal/dpa-subprocessor-list.html.
 
4.2    Avviso sui Sub-responsabili. RingCentral può, dando un ragionevole preavviso al Cliente, aggiungere o sostituire Sub-responsabili. Se il Cliente si oppone alla nomina di un ulteriore Sub-responsabile entro trenta (30) giorni di calendario da tale avviso per motivi ragionevoli relativi alla protezione dei Dati personali del Cliente, allora le Parti discuteranno tali questioni al fine di raggiungere una soluzione. Se tale soluzione non può essere raggiunta, allora RingCentral non nominerà il Sub-responsabile o, se ciò non è possibile, il Cliente avrà il diritto di sospendere o terminare il Servizio RingCentral interessato senza incorrere in penali con un preavviso scritto di trenta (30) giorni a RingCentral. Nonostante quanto sopra, in caso di forza maggiore (come un guasto al Sub-responsabile RingCentral) che può provocare una sospensione o un'interruzione del Servizio, RingCentral si riserva il diritto di cambiare immediatamente il Sub-responsabile al fine di mantenere o ripristinare le condizioni standard del Servizio. In questa situazione, la notifica del cambio di Sub-responsabile può essere eccezionalmente inviata dopo il cambio.
 
4.3    Cooperazione e diritti degli interessati. È responsabilità del Cliente rispondere a qualsiasi richiesta degli interessati. Alcuni dei Servizi RingCentral possono fornire mezzi tecnici diretti per consentire al Cliente di adempiere ai suoi doveri di rispondere alle richieste degli interessati in base alle Leggi applicabili sulla protezione dei dati. Se il Cliente non è in grado di rispondere alla richiesta dell'interessato attraverso tali mezzi tecnici, o se tale funzionalità non è disponibile, RingCentral, tenendo conto della natura del trattamento, fornirà un'assistenza ragionevole al Cliente, per consentirgli di rispondere a tali richieste degli interessati. Nel caso in cui tale richiesta venga fatta direttamente a RingCentral, RingCentral comunicherà prontamente l'interessato di contattare il Cliente.
 
4.4    Valutazioni d'impatto sulla protezione dei dati. RingCentral, nella misura richiesta dalle Leggi applicabili sulla protezione dei dati, e su richiesta e a spese del Cliente, fornirà al Cliente un'assistenza ragionevole per le valutazioni di impatto sulla protezione dei dati o per le consultazioni preventive con le autorità di protezione dei dati che il Cliente è tenuto a svolgere ai sensi delle Leggi applicabili sulla protezione dei dati in relazione ai Servizi.
 
4.5    Trasferimenti internazionali. RingCentral può trasferire ed elaborare i Dati personali del Cliente al di fuori dello Spazio Economico Europeo ("SEE"), della Svizzera o del Regno Unito, in conformità con l'elenco dei Sub-responsabili pubblicato, in luoghi in cui RingCentral, le sue affiliate o i suoi Sub-responsabili mantengono operazioni di trattamento dei dati. Nella misura in cui RingCentral tratta (o fa trattare) qualsiasi Dato Personale del Cliente proveniente dallo SEE, dalla Svizzera o dal Regno Unito in un paese che non è stato riconosciuto dalla Commissione Europea garantire un adeguato livello di protezione dei Dati personali del Cliente, RingCentral rispetterà la Legge sulla protezione dei dati dello Spazio Economico Europeo, della Svizzera e del Regno Unito per quanto riguarda la raccolta, l'uso, trasferimento, conservazione e altri trattamenti di Dati personali dallo Spazio Economico Europeo, dalla Svizzera oppure dal Regno Unito, e metterà in atto le misure necessarie per garantire che il trasferimento sia conforme alle Leggi applicabili sulla protezione dei dati, che includono la sottoscrizione delle clausole contrattuali standard della Commissione Europea, o la messa in atto di qualsiasi altro meccanismo di trasferimento valido secondo le Leggi applicabili sulla protezione dei dati.
 
4.6    Audit.
        (a)    Entrambe le Parti riconoscono che è intenzione delle stesse fare normalmente affidamento sulla fornitura dei rapporti di sicurezza alla Sezione 3.7 di cui sopra per verificare la conformità di RingCentral con questo DPA.
        (b)    Inoltre, su richiesta del Cliente, ma non più di una volta in ogni periodo di 12 mesi, RingCentral completerà un questionario sul programma di sicurezza delle informazioni fornito dal Cliente, limitato agli effettivi servizi/ambienti relativi ai Servizi forniti al Cliente ("Security Review"). 
        (c)    Dopo l'esame da parte del Cliente del rapporto di audit di RingCentral o di un'attestazione simile, e del questionario sulla sicurezza delle informazioni completato (comprese eventuali modifiche introdotte da RingCentral per affrontare eventuali lacune), se, nella misura richiesta dalle Leggi applicabili sulla protezione dei dati, ulteriori informazioni sono ragionevolmente necessarie per dimostrare il rispetto degli obblighi di RingCentral ai sensi delle Leggi applicabili sulla protezione dei dati e del presente DPA, Il Cliente può richiedere per iscritto l'esecuzione di un audit (comprese le ispezioni) di RingCentral ai sensi della procedura di richiesta di audit riportata di seguito, non più di una volta ogni dodici (12) mesi, a meno che un'autorità di vigilanza non richieda specificamente che venga eseguito un audit di RingCentral o in risposta a un incidente di sicurezza. 
        (d)    Al fine di esercitare il suo diritto di controllo ai sensi di questa sezione, il Cliente deve fornire a RingCentral una richiesta scritta e dettagliata, includendo la spiegazione delle lacune nei rapporti di controllo forniti da RingCentral e nel Security Review che rendono il controllo necessario per dimostrare la conformità di RingCentral a questo DPA o alla legge applicabile.       
        (e)    L'audit può essere eseguito dal Cliente o da un auditor di terze parti (qualsiasi terza parte deve essere vincolata a stringenti obblighi di riservatezza, inclusi i requisiti che i singoli auditor nominati non abbiano eseguito audit di nessuno dei concorrenti di RingCentral nei precedenti dodici (12) mesi e che sia loro vietato eseguire tali audit nei dodici (12) mesi successivi all'audit di RingCentral) esclusivamente a spese del Cliente. RingCentral può opporsi per iscritto a qualsiasi revisore terzo se il revisore è, secondo l'opinione ragionevole di RingCentral, non adeguatamente qualificato o indipendente, un concorrente di RingCentral, o altrimenti manifestamente inadatto. Qualsiasi obiezione da parte di RingCentral richiederà al Cliente di nominare un altro revisore o di condurre la revisione stessa.
        (f)    RingCentral e il Cliente concorderanno in anticipo lo scopo e i tempi della verifica, per proteggere le informazioni riservate e proprietarie di RingCentral e di altre parti, per ridurre al minimo le interruzioni dell'attività di RingCentral, per limitare lo scopo ai servizi/ambienti effettivi relativi ai servizi forniti al Cliente, e per concordare una durata ragionevole della verifica.
        (g)    L'esecuzione dell'audit avverrà durante il normale orario di lavoro per il personale RingCentral coinvolto e le Parti concordano che RingCentral renderà disponibile il materiale per la revisione del Cliente, che non potrà essere conservato dal Cliente. RingCentral può addebitare un onorario ragionevole per i costi sostenuti in relazione a tale revisione in base alle tariffe dei servizi professionali di RingCentral, a meno che la revisione non mostri una violazione materiale da parte di RingCentral. RingCentral fornirà all'Utente i dettagli di qualsiasi tariffa applicabile, e la base del suo calcolo, in anticipo rispetto a qualsiasi revisione.
        (h)    Tutte le informazioni fornite o rese disponibili al Cliente ai sensi di questa sezione saranno considerate informazioni riservate di RingCentral.
 
4.7    Richieste di accesso ai dati. Se RingCentral riceve una richiesta da parte delle forze dell'ordine o di altre autorità governative di accesso ai Dati Personali che RingCentral sta trattando per conto del Cliente, RingCentral notificherà e fornirà al Cliente i dettagli della richiesta di accesso ai dati prima di comunicare qualsiasi Dato Personale, a meno che non sia vietato dalla legge o laddove esista un rischio imminente di grave danno che proibisca la notifica preliminare.
 
5.    Varie
5.1    A meno che quanto sopra non indichi esplicitamente il contrario, i termini e le condizioni dell'Accordo si applicano al DPA. In caso di conflitto tra i termini dell'Accordo e i termini del presente DPA, i termini del presente DPA prevalgono per quanto riguarda le attività di trattamento dei dati.
 
5.2    La legge e il foro che si applicano all'Accordo si applicano anche a questo DPA.
 
5.3    Contatto per domande sulla privacy: privacy@RingCentral.com.

 

Allegato A

DESCRIZIONE DEL TRATTAMENTO

RingCentral è un fornitore di

1. servizi di comunicazione e collaborazione basati sul cloud per voce ad alta definizione, video, SMS, messaggistica e collaborazione via chat, conferenze, riunioni online e fax;

2. una piattaforma omnicanale di gestione della comunicazione con i clienti che unifica tutti i canali di comunicazione rivolti al cliente, tra cui voce, email, SMS, sito web, app mobile, chat e comunicazioni sui social media, in un'unica piattaforma, consentendo risposte comunitarie alle richieste del servizio clienti;

di seguito collettivamente (i "Servizi").

Il trattamento dei dati ha un impatto sulle seguenti categorie di soggetti interessati:

  • I dipendenti del Cliente e gli utenti autorizzati che utilizzano i Servizi in relazione all'attività del Cliente.
  • Qualsiasi altro soggetto coinvolto o menzionato nel contenuto delle comunicazioni o delle collaborazioni che avvengono attraverso l'uso dei Servizi da parte del Cliente.

Le categorie di Dati personali del Cliente trattati includono:

  • Informazioni identificative dell'amministratore del Cliente, informazioni di contatto, come indirizzo, numero di telefono (fisso e mobile), indirizzo e-mail e numero di fax, informazioni sull'impiego, come titolo di lavoro e ruolo aziendale.
  • Informazioni di identificazione di chiunque, compresi i dipendenti del Cliente, che utilizzano i Servizi su richiesta e in relazione all'attività del Cliente, compresi il numero di telefono (fisso e mobile) e l'indirizzo e-mail.
  • Registri di dettaglio delle chiamate, compresi i numeri della parte chiamante e della parte ricevente, la data e l'ora di inizio della chiamata, la durata della chiamata.
  • Per servizi come RingCentral Contact Center, RingCentral Engage Digital e/o RingCentral Engage Voice e RingCentral Engage Digital Communities:
    • Informazioni di identificazione degli Utenti Finali come nome e cognome, sesso, informazioni di contatto (indirizzo, numero di telefono (fisso e mobile), indirizzo e-mail, numero di fax), informazioni sull'impiego (titolo di lavoro) e nome della società.
    • Informazioni di identificazione dei dipendenti o degli utenti autorizzati del Cliente o di altri collaboratori terzi, compresi nome e indirizzo e-mail.
    • I contenuti pubblicati sui canali di comunicazione collegati ai Servizi, comprese le informazioni pubbliche sui canali dei social media collegati al Servizio.
    • I contenuti pubblicati sullo spazio di condivisione online, compresi i post pubblici e i messaggi privati.
  • Qualsiasi altro Dato personale del Cliente che il Cliente, i suoi utenti autorizzati o le terze parti coinvolte nelle comunicazioni scelgono a loro esclusiva discrezione di includere nel contenuto delle comunicazioni inviate e ricevute utilizzando i Servizi.

Categorie speciali di Dati personali del Cliente

I Servizi non sono progettati per riconoscere e/o classificare i dati come categorie speciali di dati o dati sensibili (come definiti nel GDPR o in altre leggi applicabili sulla protezione dei dati), né come Dati personali riguardanti bambini o minori, o relativi a condanne penali e reati. Nella misura in cui il Cliente tratta categorie speciali di Dati personali, il Cliente si impegna a trattare questa categoria di Dati personali in modo legale, e in particolare a basarsi su una base giuridica valida in conformità alle Leggi applicabili sulla protezione dei dati.

Operazioni di trattamento

RingCentral tratta i Dati personali del Cliente al fine di fornire e mantenere i Servizi a cui il Cliente ha aderito, compresi eventuali Servizi accessori o correlati nell'ambito dell'Accordo, al fine di pubblicare contenuti su canali di comunicazione pubblici/privati, per la gestione dei rapporti con i clienti, la gestione degli utenti e l'assistenza clienti. RingCentral pubblica i contenuti degli utenti autorizzati sui canali di comunicazione pubblici o privati collegati alla propria piattaforma e sincronizza i Contenuti degli Utenti Finali dagli stessi canali. RingCentral memorizza e mostra le informazioni del Cliente e la cronologia delle conversazioni agli utenti autorizzati.

I dati personali dei clienti saranno trattati per la durata dell'accordo, o come altrimenti richiesto dalla legge o concordato tra le parti.