Aggiornato il: 25 ottobre 2022

1. Introduzione e Ambito di Applicazione

  1. Il presente Addendum al Trattamento dei Dati (“Data Processing Addendum” – “DPA“) è un addendum ai Termini di Servizio (“Termini“). Tutte le disposizioni dei Termini si applicano e sono incorporate nella presente DPA, ma in caso di conflitto tra la presente DPA e le disposizioni dei Termini, prevarranno le disposizioni della presente DPA.
  2. La presente DPA si applica ai clienti solo se e nella misura in cui (a) Kinsta tratta i Dati Personali del Cliente (definiti di seguito) per o per conto del cliente ai sensi dell’Accordo (b) e le leggi sulla Protezione dei Dati si applicano a tali Dati Personali del Cliente.
  3. Aggiornamenti della DPA. Ci riserviamo il diritto di apportare modifiche alla presente DPA in qualsiasi momento a nostra esclusiva discrezione. Se apportiamo modifiche alla presente DPA, forniremo un avviso di tali modifiche rivedendo la data all’inizio della presente DPA. L’uso continuato dei nostri Servizi dopo la notifica delle modifiche costituirà accettazione di tali modifiche. Si prega di rivedere periodicamente la presente DPA e verificare la presenza di eventuali aggiornamenti.

2. Definizioni

I termini in maiuscolo che non sono definiti nel presente DPA assumono il significato fornito altrove nell’Accordo. Inoltre, i seguenti termini qui definiti si applicano esclusivamente al presente DPA.

  1. Titolare“, “Responsabile del trattamento“, “Interessato“, “Trattamento“, “Dati Personali” e “Violazione dei Dati Personali” avranno i significati loro attribuiti nelle Leggi sulla Protezione dei Dati.
  2. Per “Dati Personali del Cliente” si intende qualsiasi dato personale dell’utente finale soggetto alle leggi sulla protezione dei dati che il cliente fornisce, trasferisce o rende accessibile a Kinsta in relazione ai servizi.
  3. Leggi sulla Protezione dei Dati” indica il Regolamento generale sulla protezione dei dati UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (“GDPR“), il Data Protection Act 2018 del Regno Unito e il GDPR del Regno Unito, la legge svizzera sulla protezione dei dati, qualsiasi legislazione nazionale di attuazione applicabile di tali leggi e, in ogni caso, come modificata, sostituita o superata di volta in volta.

3. Ruoli delle Parti

  1. Il Cliente è il Titolare del Trattamento (Controller) e Kinsta è il Responsabile del Trattamento (Processor) in relazione ai Dati Personali del Cliente. Kinsta tratterà i dati personali del cliente solo in conformità con le istruzioni documentate del cliente, che comprendono le disposizioni del Contratto, a meno che non sia richiesto diversamente per ottemperare alle leggi sulla protezione dei dati. Vi informeremo se, a nostro avviso, le vostre istruzioni violano le leggi sulla protezione dei dati.
  2. Il Cliente e Kinsta devono rispettare le Leggi sulla Protezione dei Dati. Il Cliente deve ottenere le autorizzazioni, i consensi, i rilasci o le autorizzazioni richiesti e fornire tutte le note sulla privacy richieste in merito ai Dati Personali del Cliente. A scanso di equivoci, il Cliente sarà l’unico responsabile per l’accuratezza, la qualità e la legittimità di tutti i Dati Personali del Cliente e delle basi su cui sono raccolti dall’interessato.

4. Natura, Finalità e Durata del Trattamento

  1. Kinsta tratterà i Dati Personali del Cliente nei limiti di quanto necessario per l’esecuzione dei Servizi – generalmente limitati all’hosting passivo delle Applicazioni del Cliente e al relativo supporto – o per proteggere i diritti legali di Kinsta, per tutta la durata dell’Accordo, a meno che non sia stato concordato diversamente per iscritto.
  2. Il trasferimento dei Dati Personali del Cliente a Kinsta in relazione ai Servizi è determinato e controllato dal Cliente a sua esclusiva discrezione.
  3. Kinsta può trattare le seguenti categorie di Dati Personali del Cliente: qualsiasi Dato Personale raccolto, utilizzato o altrimenti trattato dagli Utenti Finali delle Applicazioni del Cliente.
  4. Kinsta può trattare i Dati Personali del Cliente delle seguenti categorie di Soggetti: Utenti Finali delle Applicazioni del Cliente.

5. Trasferimenti transfrontalieri

  1. L’utente sceglie il/i centro/i dati di Google Cloud Platform in cui saranno ospitate le Applicazioni del Cliente.  L’utente riconosce, accetta e comprende che (a) tutti i suoi Dati Personali del Cliente saranno automaticamente trasferiti e archiviati nel centro dati di Google da lui scelto e (b) i Dati Personali del Cliente potranno essere trasferiti dallo Spazio Economico Europeo (“SEE”), dal Regno Unito o dalla Svizzera al paese in cui si trova il centro dati di Google, a seconda della sua scelta.
  2. Kinsta e Google hanno accettato i termini del Google Cloud Platform Data Processing and Security Terms and EU Model Contract Clauses. Per ulteriori informazioni, si leggano gli impegni di Google relativi ai trasferimenti transfrontalieri nella sezione “Trasferimento internazionale dei dati” qui: https://cloud.google.com/security/gdpr/.
  3. Il Cliente autorizza il trasferimento dei Dati Personali del Cliente in qualsiasi giurisdizione al di fuori del SEE (Spazio Economico Europeo), inclusi gli Stati Uniti, allo scopo di fornire i Servizi. In qualità di controllore e/o esportatore dei Dati Personali del Cliente, il Cliente è responsabile di garantire che tali trasferimenti siano conformi alle leggi sulla Protezione dei Dati.

6. Sub-responsabili

  1. Kinsta si avvale di subappaltatori terzi che elaborano i dati personali dei clienti (“Sub-processor“) ai fini della fornitura dei servizi. Un elenco aggiornato dei sub-processor è disponibile nell’Appendice A dell’accordo di protezione dei dati online di Kinsta, che si trova qui: https://kinsta.com/it/appendice-riservatezza-dati/ (“Elenco dei sub-processor”). Il Cliente autorizza Kinsta a dare incarico a questi sub-responsabili allo scopo di fornire i Servizi.
  2. Kinsta può aggiornare di tanto in tanto l’Elenco dei sub-processor, e tali aggiornamenti saranno l’unico mezzo per fornire al Cliente la notifica delle modifiche dei sub-processor. Il Cliente ha la responsabilità di controllare e rivedere regolarmente l’Elenco dei sub-processor. La mancata obiezione scritta del cliente a un nuovo sub-processor entro quattordici (14) giorni dalla pubblicazione da parte di Kinsta del nuovo sub-processor nell’elenco dei sub-processor costituisce accettazione del cliente del nuovo sub-processor.
  3. Se Kinsta stabilisce a sua esclusiva discrezione che non può ragionevolmente accogliere l’obiezione tempestiva del Cliente a un Sub-responsabile, previa comunicazione di Kinsta, il Cliente può scegliere di risolvere il Contratto in conformità con le disposizioni di risoluzione nei Termini di Servizio, che saranno di esclusiva competenza e tutela del Cliente.
  4. Kinsta imporrà ai propri Sub-responsabili obblighi uguali o sostanzialmente equivalenti a quelli stabiliti nel presente DPA mediante contratto scritto. Kinsta sarà responsabile nei confronti del Cliente per l’adempimento da parte dei Sub-responsabili dei propri obblighi in materia di protezione dei dati rispetto ai Dati Personali del Cliente.

7. Valutazioni di Sicurezza e Impatto

  1. Kinsta garantisce che il proprio personale è soggetto a obblighi vincolanti di riservatezza in relazione ai Dati Personali del Cliente.
  2. Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, portata, contesto e scopi del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli interessati, Kinsta implementa adeguate tecniche e misure organizzative per garantire un livello di sicurezza adeguato al rischio.
  3. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla protezione dei dati in materia di sicurezza, valutazioni d’impatto e consultazioni con autorità di vigilanza o di regolamentazione.

8. Violazione dei Dati Personali

  1. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Kinsta, Kinsta assisterà il Cliente nel garantire il rispetto degli obblighi del Cliente ai sensi delle leggi sulla Protezione dei Dati in relazione a una Violazione dei Dati Personali.
  2. In caso di rilevata Violazione dei Dati Personali, Kinsta fornirà tempestiva comunicazione ai contatti tecnici e di account del Cliente utilizzando i mezzi stabiliti per le comunicazioni di routine relative all’account.
  3. La nostra comunicazione includerà le seguenti informazioni nella misura in cui sono ragionevolmente disponibili per Kinsta al momento della notifica e Kinsta aggiornerà la sua comunicazione man mano che informazioni aggiuntive diverranno ragionevolmente disponibili: (a) le date e gli orari della Violazione dei Dati Personali; (b) i fatti di base alla base della scoperta della Violazione dei Dati Personali o la decisione di avviare un’indagine su una presunta Violazione dei Dati Personali, a seconda dei casi; (c) una descrizione dei Dati Personali del Cliente coinvolti nella Violazione dei Dati Personali, in modo specifico, o con riferimento alle serie di dati, e (d) le misure pianificate o in corso per porre rimedio o mitigare la vulnerabilità che dà origine alla Violazione dei Dati Personali.

9. Richieste di Dati dell’Interessato

  1. Tenendo conto della natura del trattamento, Kinsta assisterà il Cliente con adeguate misure tecniche e organizzative, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle leggi sulla Protezione dei Dati.
  2. Kinsta notificherà tempestivamente al Cliente nel caso in cui riceva una richiesta da un Interessato che invochi i propri diritti in relazione ai Dati Personali del Cliente, salvo diversamente proibito dalla legislazione applicabile; e, salvo quanto richiesto dalla legislazione applicabile, non intraprenderemo in modo indipendente alcuna azione in risposta a una richiesta di un Interessato senza previa istruzione scritta del Cliente.

10. Verifica e Ispezione

  1. Fatto salvo e condizionato da un accordo scritto di non divulgazione, Kinsta fornirà al Cliente le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA.
  2. Qualsiasi audit sarà (i) soggetto e condizionato a un ragionevole preavviso scritto, non inferiore a sessanta (60) giorni, a Kinsta; (ii) soggetto e condizionato a un accordo scritto di riservatezza e non divulgazione e a un piano di audit scritto e dettagliato rivisto e pre-approvato da Kinsta; (iii) limitato a una volta ogni tre (3) anni di calendario; (iv) a spese e costi esclusivi del Cliente; (v) limitatamente all’ambito e allo scopo di valutare una sospetta inadempienza specificamente identificata da parte di Kinsta alle disposizioni del presente DPA e solo dopo che il Cliente abbia esaurito tutti gli altri mezzi ragionevoli, come stabilito da Kinsta; e (vi) in presenza virtuale o fisica di un rappresentante di Kinsta senza interrompere in modo irragionevole le operazioni commerciali di Kinsta.

11. Cancellazione o Restituzione dei Dati Personali del Cliente

Al momento della corretta risoluzione del Contratto e su indicazione scritta del Cliente, Kinsta adotterà misure ragionevoli per eliminare i Dati Personali del Cliente o restituire i Dati personali del Cliente e le relative copie al Cliente, fatte salve le leggi applicabili che richiedono la conservazione continuativa dei Dati Personali del Cliente da parte di Kinsta.

Appendice A

Elenco dei Sub-responsabili

  • Cloudflare: Utilizziamo Cloudflare per proteggere e migliorare le prestazioni dei Servizi.
  • Google Cloud Platform: Utilizziamo Google Cloud Platform per ospitare e proteggere le Applicazioni del Cliente e per archiviare i dati relativi alle Applicazioni del Cliente.
  • Google Workspace: Utilizziamo le applicazioni di Google Workspace per elaborare le comunicazioni email e gestire i documenti online.
  • Intercom: Utilizziamo Intercom per comunicare con i nostri clienti e fornire supporto.
  • Mailchannels: Mailchannels è un provider SMTP che invia e-mail transazionali dalle Applicazioni del Cliente.
  • Migrate Guru: Il nostro team Migrazioni può utilizzare Migrate Guru per migrare le Applicazioni del Cliente per i Clienti iscritti a piani di hosting WordPress gestito, con l’autorizzazione del Cliente.