Addendum per l'Elaborazione dei Dati RingCentral

Data Processing Agreement (DPA)

Il presente Addendum per il trattamento dei dati personali (DPA) è stipulato da e tra RingCentral e il Cliente (ciascuna "Parte", insieme le "Parti"), ed è complementare al contratto stipulato tra le Parti a cui è allegato ("Contratto") per la fornitura dei Servizi al Cliente.

I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno lo stesso significato di cui al Contratto o alla Legge Applicabile in Materia di Protezione dei Dati.

1.    Definizioni
 
1.1    Ai fini del presente DPA:
 
        (a)   Per "Affiliata" si intende un'entità controllata da una Parte del presente Contratto, o che controlla una Parte del presente Contratto o che è sotto controllo comune con una Parte del presente Contratto. Per "controllo" si intende la titolarità di una partecipazione di oltre il cinquanta per cento (50%) dei titoli di voto o delle partecipazioni azionarie di un'entità. 
        (b)   "Contratto" indica il principale accordo scritto o elettronico tra il Cliente e RingCentral per la fornitura di uno dei Servizi RingCentral. 
        (c)  "Leggi Applicabili in Materia di Protezione dei Dati" indica tutte le leggi sulla protezione dei dati personali e sulla privacy (compreso il RGPD) applicabili a RingCentral nel trattamento dei Dati Personali ai sensi del presente DPA.
        (d)  "Titolare del Trattamento" avrà lo stesso significato stabilito dalla Applicabile in Materia di Protezione dei Dati. 
        (e)  "Dati Personali del Cliente" indica tutti i Dati Personali che RingCentral tratta in qualità di Responsabile del Trattamento ai sensi del Contratto. 
        (f)  “RGPD” indica (i) il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, (ii) qualsiasi Leggi Applicabili in Materia di Protezione dei Dati attuata dagli Stati membri dell'Unione Europea, (iii) il Data Protection Act del Regno Unito (DPA 2018), come modificato, e il RGPD come incorporato nella legge del Regno Unito come UK GDPR, e (iv) le Leggi federali svizzere sulla protezione dei dati (il ‘FADP’); il tutto come modificato di volta in volta.
        (g)  "Dati Personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito dalla Legge applicabile in materia di  protezione dei dati personali. 
        (h)  "Responsabile del Trattamento" avrà lo stesso significato ai sensi della Legge Applicabile in Materia di Protezione dei Dati.
        (i)  Per "Violazione di Sicurezza" si intende una violazione della sicurezza che comporti la  distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati Personali del Cliente che comprometta la privacy, la sicurezza o la riservatezza di tali Dati Personali.
        (j)  "Servizi" indica i servizi RingCentral descritti nell'Allegato I.
 
 
2.    Ambito di applicazione del DPA
 
2.1   Il presente DPA si applicherà nella misura in cui RingCentral elabora i Dati Personali del Cliente per conto del Cliente in qualità di Responsabile del Trattamento. Tale elaborazione è ulteriormente dettagliata nell'Allegato 1. Qualsiasi trattamento di Dati Personali da parte di RingCentral in qualità di Titolare del Trattamento non rientra nell'ambito di applicazione del presente DPA.
 
 
3.    Ruoli e responsabilità
 
3.1    Ruoli delle parti. Tra le Parti e ai fini del presente DPA il Cliente sarà il Titolare dei Dati personali del Cliente trattati da RingCentral ai sensi dell’Accordo in qualità di Responsabile per conto del Cliente. RingCentral rispetterà gli obblighi di un Titolare ai sensi delle Leggi applicabili sulla protezione dei dati nella misura in cui tratta i Dati personali in qualità di Titolare per i legittimi scopi commerciali di RingCentral, incluso quanto necessario per il funzionamento delle comunicazioni in cloud offerte, e quanto necessario per rispettare la legge applicabile.
 
3.2    Obblighi del Cliente. Il Cliente si impegna a:
 
        (a)    Assicurarsi di poter condividere legittimamente i Dati Personali del Cliente con RingCentral per le finalità stabilite nel Contratto.
        (b)    Rispettare le Leggi Applicabili in Materia di Protezione dei Dati nell'utilizzo dei Servizi e nella raccolta ed elaborazione dei Dati Personali, compresi i Dati personali del Cliente. Il Cliente riconosce e conferma, come rilevante, di aver informato i propri dipendenti (attuali e futuri) e il proprio consiglio di fabbrica, ove richiesto, del fatto che, nell'ambito dei Servizi, il Cliente ha accesso ai dati sulle comunicazioni dei propri dipendenti; e
        (c)    Trattare categorie particolari di Dati Personali o dati sensibili (come definiti dalle Leggi Applicabili in Materia di Protezione dei Dati), o Dati Personali relativi a minori, o relativi a condanne penali e reati, in modo lecito e basandosi su una condizione di liceita’ in conformità alle Leggi Applicabili in Materia di Protezione dei Dati. Le Parti riconoscono che i Servizi non sono progettati per riconoscere e/o classificare tali dati.
 
3.3    Limitazione dello scopo
 
        (a)    Salvo ove diversamente richiesto dalla legge applicabile, RingCentral tratterà i Dati Personali del Cliente (i) in conformità alle istruzioni documentate del Cliente (che sono indicate nel Contratto, nel presente DPA e nella configurazione e nell'utilizzo dei Servizi da parte del Cliente, in conformità ai termini di utilizzo applicabili), (ii) ai fini della fornitura, del monitoraggio, del supporto, del miglioramento e della manutenzione dei Servizi.
 
3.4    Riservatezza del trattamento. RingCentral farà in modo che qualsiasi persona da essa autorizzata a trattare i Dati Personali del Cliente sia soggetta a un obbligo di riservatezza (contrattuale o legale).
 
3.5    Sicurezza. RingCentral adotterà misure tecniche e organizzative adeguate per salvaguardare la sicurezza dei Dati Personali del Cliente. Le misure di sicurezza di RingCentral sono descritte nell'Addendum sulla sicurezza di RingCentral. RingCentral manterrà un programma di sicurezza delle informazioni e di gestione del rischio per preservare la riservatezza, l'integrità e l'accessibilità dei Dati Personali del Cliente con misure amministrative, tecniche e fisiche conformi agli standard e alle pratiche del settore generalmente riconosciuti.
 
3.6    Violazioni di sicurezza. Nel momento in cui venisse a conoscenza di una Violazione di Sicurezza, RingCentral la comunicherà al Cliente senza ingiustificato ritardo al punto di contatto che il Cliente ha fornito nel portale amministrativo RingCentral e fornirà tempestivamente le informazioni disponibili, anche per consentire al Cliente di adempiere a qualsiasi obbligo di segnalazione di violazione dei dati ai sensi delle Leggi Applicabili in Materia di Protezione dei Dati.
 
3.7    Relazioni  sulla sicurezza. RingCentral selezionerà un revisore indipendente e qualificato per condurre, a spese di RingCentral, verifiche almeno annuali della sicurezza dei Servizi e degli ambienti, in conformità a standard riconosciuti a livello internazionale quali ISO27001, SOC 2, Tipo II o equivalenti. Su richiesta del Cliente e in conformita’ agli obblighi di riservatezza, RingCentral fornirà una copia delle relazioni di revisione più recenti (o di un'attestazione di sicurezza analoga) per documentare la conformità ai requisiti di cui sopra, laddove tale certificazione sia disponibile. Tali relazioni di revisione sono informazioni riservate di RingCentral e il Cliente non potrà distribuirli a terzi senza l'approvazione scritta di RingCentral.
 
3.8    Audit.
 
        (a)    Le Parti riconoscono che è intenzione delle Parti fare affidamento sulle relazioni sulla sicurezza di cui alla precedente Sezione 3.7 per verificare la conformità di RingCentral al presente DPA.
        (b)    Inoltre, su richiesta del Cliente, ma non più di una volta ogni dodici (12) mesi, RingCentral completerà un questionario del Cliente sul programma di sicurezza delle informazioni, limitatamente ai servizi/ambienti dedicati ai Servizi ("Security Review").
        (c)    Dopo l'esame da parte del Cliente della suddetta relazione di RingCentral o di un'attestazione analoga, e del questionario sulla sicurezza compilato ed eventualmente  modificato da RingCentral per colmare eventuali lacune, se, nella misura richiesta dal Leggi Applicabili in Merito alla Protezione dei Dati, sono necessarie ulteriori informazioni per dimostrare la conformità agli obblighi di RingCentral ai sensi delle Leggi Applicabili in Merito alla Protezione dei Dati e del presente DPA, Il Cliente può richiedere per iscritto l'esecuzione di una revisione(comprese le ispezioni) di RingCentral ai sensi della procedura di richiesta di revisione riportata di seguito, non più di una volta ogni dodici (12) mesi, a meno che un'autorità di vigilanza non richieda specificamente l'esecuzione di una revisione di RingCentral o in risposta a una violazione di sicurezza.
        (d)    Per esercitare il diritto di revisione ai sensi della presente sezione, il Cliente deve fornire a RingCentral una richiesta scritta e dettagliata, che includa la spiegazione delle lacune nelle relazioni di RingCentral e nella Security Review che rendono la revisione necessaria per dimostrare la conformità di RingCentral con il presente DPA o con la Legge Applicabile in Materia di Dati Personali.
        (e)    La revisione può essere eseguita dal Cliente o da un revisore terzo (qualsiasi terza parte soggetta a obblighi di riservatezza, a condizione che i singoli revisori nominati non abbiano eseguito revisioni di alcun concorrente di RingCentral nei dodici (12) mesi precedenti e che sia loro vietato eseguire tali revisioni nei dodici (12) mesi successivi alla revisione di RingCentral) esclusivamente a spese del Cliente. RingCentral può opporsi per iscritto a qualsiasi revisore di terze parti se il revisore, secondo il ragionevole parere di RingCentral, non è adeguatamente qualificato o indipendente, è un concorrente di RingCentral o è altrimenti manifestamente incompetente. Qualsiasi obiezione di questo tipo da parte di RingCentral obbligherà il Cliente a nominare un altro revisore o a condurre direttamente la revisione.
        (f)    RingCentral e il Cliente concorderanno in anticipo l'ambito e la tempistica della revisione, non prima di trenta (30) giorni dalla data della richiesta scritta di audit in loco di cui al punto 3.8 (d),  al fine di proteggere le Informazioni riservate di RingCentral e di altre parti, di ridurre al minimo le interruzioni dell'attività di RingCentral, di limitare l'ambito ai Servizi forniti al Cliente ai sensi del Contratto e di concordare una durata ragionevole della revisione.
        (g)    L'esecuzione della revisione avverrà durante il normale orario di lavoro di RingCentral e le Parti concordano che RingCentral renderà disponibile il materiale per la revisione da parte del Cliente, che pero’ non potra’ conservarne copia. RingCentral può addebitare i costi sostenuti in relazione a tale revisione sulla base delle tariffe dei servizi professionali di RingCentral, a meno che la revisione non evidenzi una violazione sostanziale da parte di RingCentral del presente DPA o delle Leggi Applicabili in Materia di Protezione dei Dati. RingCentral fornirà al Cliente i dettagli delle tariffe applicabili, prima di qualsiasi revisione.
        (h)    Tutte le informazioni fornite o rese disponibili al Cliente ai sensi della presente sezione saranno considerate informazioni riservate di RingCentral.
 
3.9    Cancellazione o restituzione dei dati. Alla risoluzione o alla scadenza del Contratto, RingCentral cancellerà i Dati Personali del Cliente (comprese le copie) in possesso di RingCentral o, su richiesta del Cliente, fornirà opzioni per la restituzione dei Dati Personali al Cliente, salvo nella misura in cui RingCentral sia tenuta, in base alla legge applicabile, a conservare alcuni o tutti i Dati Personali del Cliente.
 
 
4.    Obblighi derivanti dal  RGPD
 
4.1    Applicabilità. La presente Sezione 4 si applica al trattamento dei Dati Personali del Cliente soggetti al RGPD.
 
4.2    Altri responsabili di trattamento. Il Cliente accetta che RingCentral e le sue Affiliate possano incaricare Affiliate di RingCentral e di terze parti responsabili di trattamento (collettivamente, "Altri Responsabili del Trattamento") di elaborare i Dati Personali per conto di RingCentral. A seconda dell'ambito e della natura del trattamento, RingCentral imporrà a tali Altri Responsabili del Trattamento  condizioni di protezione dei dati che proteggano i Dati Personali del Cliente in modo almeno equivalente a quello previsto dal presente DPA e rimarrà responsabile di qualsiasi violazione del DPA causata da un Altro Responsabile del Trattamento. Gli Altri Responsabili di Trattamento assunti da RingCentral in relazione a ciascuno dei Servizi al momento del Contratto sono indicati nell'elenco disponibile all'indirizzo https://www.ringcentral.com/legal/dpa-subprocessor-list.html, o sono altrimenti specificati nel Contratto.
 
4.3  Notifica di nuovi Altri Responsabili del Trattamento  RingCentral può, con un ragionevole preavviso al Cliente, aggiungere o sostituire Altri Responsabili del Trattamento. Se il Cliente si oppone alla nomina di un Altro Responsabile del Trattamento entro trenta (30) giorni di calendario da tale avviso per motivi ragionevoli, le Parti collaboreranno al fine di trovare una soluzione. Se non è possibile raggiungere una soluzione, RingCentral non nominerà l’ Altro Responsabile del Trattamento o, se ciò non è possibile, il Cliente avrà il diritto di sospendere o terminare il Servizio RingCentral senza alcuna penale con un preavviso scritto di trenta (30) giorni. Fermo restando quanto sopra, in caso di forza maggiore imprevedibile (come ad esempio un problema con un Altro Responsabile del Trattamento RingCentral) che possa provocare un degrado o un'interruzione del Servizio, RingCentral si riserva il diritto di sostituire immediatamente tale Altro Responsabile di Trattamento al fine di mantenere o ripristinare le condizioni del Servizio. In questa situazione, la notifica di modifica dell’Altro Responsabile del Trattamento può essere inviata eccezionalmente dopo la modifica.
 
4.4    Cooperazione e diritti degli interessati. È responsabilità del Cliente rispondere a qualsiasi richiesta degli interessati. Alcuni dei Servizi RingCentral consentono al Cliente di adempiere ai propri doveri di risposta alle richieste degli interessati ai sensi delle Leggi Applicabili in Materia di Protezione dei Dati. Se il Cliente non è in grado di rispondere alla richiesta dell'interessato attraverso tali mezzi tecnici, o se tale funzionalità non è disponibile, RingCentral, tenendo conto della natura del trattamento,  assistera’ il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Cliente di dare seguito alle richieste per l'esercizio dei diritti dell'interessato. Nel caso in cui tale richiesta venga fatta direttamente dall’interessato a RingCentral, RingCentral indirizzerà prontamente l'interessato a contattare il Cliente.
 
4.5    Valutazioni d'impatto sulla protezione dei dati. RingCentral, nella misura richiesta dal GDPR, su richiesta e a spese del Cliente, fornirà al Cliente assistenza per le valutazioni d'impatto sulla protezione dei dati o per le consultazioni preliminari con le autorità di protezione dei dati che il Cliente è tenuto a svolgere ai sensi del GDPR relativamente ai Servizi.
 
4.6    Trasferimenti internazionali. RingCentral può trasferire ed elaborare i Dati Personali del Cliente al di fuori dello Spazio economico europeo ("SEE"), della Svizzera o del Regno Unito, agli Altri Responsabili del Trattamento, e in luoghi in cui RingCentral, le sue Affiliate o gli Altri Responsabili di Trattamento svolgono operazioni di elaborazione dei dati.
 
        (a)    Data Privacy Framework. RingCentral ha certificato al Dipartimento del Commercio degli Stati Uniti la sua adesione al Data Privacy Framework (EU-U.S. DPF), all'Estensione del Regno Unito al DPF e al DPF Svizzera-USA. La Certificazione di RingCentral si applica ai Servizi.
        (b)    Clausole tipo. Nella misura in cui RingCentral elabora (o fa elaborare) i Dati Personali del Cliente provenienti dal SEE, dalla Svizzera o dal Regno Unito in un paese che non è stato riconosciuto dalla Commissione europea come in grado di fornire un livello adeguato di protezione dei Dati Personali, e che non si applica il Data Privacy Framework come sopra descritto, RingCentral metterà in atto le misure necessarie per garantire che il trasferimento sia conforme alle Leggi Applicabili in Materia di Protezione dei Dati, tra cui l'esecuzione delle Clausole Tipo approvate dalla  Commissione europea,l'Addendum per il trasferimento internazionale dei dati nel Regno Unito , o la messa in atto di qualsiasi altro meccanismo di trasferimento valido.
 
4.7    Richieste dei dati. Nell’eventualita’ di una richiesta da parte delle forze dell'ordine o di altre autorità governative relativa ai Dati Personali che RingCentral sta elaborando per conto del Cliente, RingCentral lo comunicherà e fornirà al Cliente i dettagli della richiesta dei dati prima di rispondere a tale richiesta, a meno che non sia proibito dalla legge o esista un rischio imminente di grave danno che vieti la notifica preventiva.
 
 
5.    Varie
 
5.1    Se non diversamente specificato, a questo DPA si applicano i termini e le condizioni dell'Accordo. In caso di conflitto tra i termini dell'Accordo e i termini del presente DPA, prevalgono i termini del presente DPA per quanto riguarda le attività di trattamento dei dati.
 
5.2    La legge e il foro applicabili al Contratto si applicano anche al presente DPA.
 
5.3    Informazioni di contatto per le richieste di informazioni sulla privacy: privacy@RingCentral.com.
 
5.4    Gli allegati al DPA sono :
  • Allegato 1 - Descrizione del trattamento

 

Allegato 1

DESCRIZIONE DEL TRATTAMENTO

Scopo del trattamento

  1. 1. Lo scopo delle attività di trattamento svolte da RingCentral è la fornitura di uno dei seguenti servizi: Servizi di comunicazione e collaborazione basati sul cloud ad alta definizione a mezzo telefonia, video, SMS, messaggistica e collaborazione via chat, conferenze, riunioni online, eventi e fax.

  2. 2. Servizi di contact center per clienti e una piattaforma di gestione della comunicazione omni-canale che unifica tutti i canali di comunicazione rivolti ai clienti, tra cui voce, e-mail, SMS, siti web, app mobili, chat e comunicazioni sui social media, su un'unica piattaforma, permettendo risposte comuni alle richieste del servizio clienti. 

  3. 3. Eventi virtuali e servizi di presentazione.

  4. 4. Servizi professionali.

  5. 5. Tutti gli altri Servizi specificati nel Contratto, a meno che non siano altrimenti disciplinati da specifiche condizioni di protezione dei dati.

Tutto quanto sopra specificato nel Contratto, (collettivamente i "Servizi").

I Servizi possono includere presentazioni con varie metriche e approfondimenti sulle comunicazioni, alcuni dei quali si basano su una piattaforma di conversation intelligence che si basa sull'intelligenza artificiale.

Soggetti

Il trattamento dei dati riguarda le seguenti categorie di soggetti:

  • I dipendenti del Cliente e gli utenti autorizzati dei Servizi in relazione all'attività del Cliente. 
  • Altre persone coinvolte o citate nel contenuto di comunicazioni o collaborazioni che avvengono nel contesto dell'uso dei Servizi da parte del Cliente.

Dati Personali del Cliente

In quanto applicabili ai Servizi, le categorie di Dati Personali del Cliente trattati possono includere, a titolo esemplificativo e non esaustivo:

  • Dati relativi all'account del Servizio, che possono comprendere uno dei seguenti elementi: nome, numero di telefono, indirizzo e-mail, indirizzo fisico, titolo, ruolo, informazioni sul profilo, impostazioni dell'applicazione, credenziali di accesso (ID utente, login, account, password);
  • Dati di utilizzo che possono comprendere uno dei seguenti elementi: informazioni sul dispositivo (come indirizzo IP, ISP, tipo di dispositivo e di sistema operativo, sistema operativo e versione del client, versione del client, tipo di microfono o di altoparlanti, tipo di connessione e relative informazioni, ecc; 
  • Contenuto generato dall'utente che può comprendere uno dei seguenti elementi: nomi o numeri di telefono dei partecipanti; messaggi di chat; testo di fax in entrata e in uscita; messaggi vocali; testo di SMS in entrata e in uscita; appunti di riunioni; flussi audio/video in transito; registrazioni di riunioni o chiamate; contenuto di interazioni con il contact center (ad es, e-mail, post sui social media, registrazioni di chiamate, chat, ecc.); trascrizioni di chiamate o riunioni registrate; riepiloghi di chiamate o riunioni registrate; cronologia delle riunioni; file, immagini e link condivisi; allegati ai messaggi, come note, attività, eventi, frammenti di codice e .gif; creazioni di cartelle; cronologia delle ricerche; presenza online e messaggi di stato; feedback degli utenti;
  • Qualsiasi altro tipo di Dati personali necessari per l'esecuzione dei Servizi.

 Categorie speciali di Dati Personali dei Clienti

I Servizi non sono progettati per riconoscere e/o classificare i dati come appartenenti alle categorie speciali di dati o dati sensibili (come definiti nel GDPR o in altre Leggi Applicabili in Materia di Protezione dei Dati), né come dati personali relativi a bambini o minori, o relativi a condanne penali e reati. Nella misura in cui il Cliente elabora categorie speciali di Dati Personali, il Cliente si impegna a trattare tale categoria di Dati Personali in modo lecito, e in particolare su una base giuridica valida in conformità alle Leggi Applicabili in Materia di Protezione dei Dati.

Operazioni di elaborazione

RingCentral tratta i Dati Personali del Cliente ai fini della fornitura e del mantenimento dei Servizi a cui il Cliente si è abbonato, compresi eventuali Servizi accessori o correlati nell'ambito del Contratto, che possono includere la raccolta, l'archiviazione, la trasmissione, la registrazione, la trascrizione, la pubblicazione, la visualizzazione, il recupero, la consultazione, la combinazione, la strutturazione e l'adattamento.

Durata del trattamento

I Dati Personali del Cliente saranno trattati per la durata del Contratto, o come altrimenti richiesto dalla legge o concordato tra le Parti.