Skip to main content

ALLEGATO SULLA PROTEZIONE DEI DATI PER I SERVIZI DOCUSIGN

Data della versione:  20 settembre 2021

Il presente Allegato sulla protezione dei dati per i servizi DocuSign (“DPA”) è incorporato e fa parte dell’Accordo. Salvo diversamente indicato nel presente DPA, i termini in maiuscolo hanno il significato loro attribuito nell’Accordo. In caso di conflitto tra questi documenti, si applica il seguente ordine di precedenza (in ordine decrescente): (a) Norme Vincolanti d’Impresa, (b) il meccanismo alternativo di trasferimento dei dati previsto dalla Sezione 6.2 del presente DPA; (c) il testo del DPA; (d) eventuali documenti allegati al DPA; e (e) l’Accordo.

1. DEFINIZIONI

"Leggi applicabili sulla protezione dei dati" indica tutte le leggi o i regolamenti sulla privacy o sulla protezione dei dati che si applicano al Trattamento dei dati personali ai sensi dell’Accordo.  

"Norme Vincolanti d’Impresa" indica le Norme Vincolanti d’Impresa per i Responsabili del trattamento di DocuSign, la cui versione più recente è disponibile sul sito web di DocuSign all’indirizzo https://trust.docusign.com/en-us/trust-certifications/gdpr/bcr-p-processor-privacy-code/.  

"Titolare del trattamento” e “Responsabile del trattamento" (o termini equivalenti) hanno i significati stabiliti nelle Leggi applicabili sulla protezione dei dati.  

"Incidente sui dati" ha il significato definito nell’Allegato sulla Sicurezza per i Servizi DocuSign.  

"Interessati" ha lo stesso significato del termine “interessato” o termine equivalente ai sensi delle Leggi applicabili sulla protezione dei dati.  

"Sub-responsabile del trattamento dei Servizi DocuSign" indica una terza parte, diversa dall’entità appaltante di DocuSign, che può trattare Dati personali per conto dell’entità appaltante di DocuSign come parte della fornitura dei Servizi DocuSign.  

"Dati personali" indica i “dati personali”, le “informazioni di identificazione personale (PII)” o termine equivalente ai sensi delle Leggi applicabili sulla protezione dei dati.  

"Trattare/Trattamento" ha il significato indicato nelle Leggi applicabili sulla protezione dei dati e include qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati personali, come la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Autorità di regolazione” ha lo stesso significato del termine “autorità di controllo”, “autorità di protezione dei dati” o termine equivalente ai sensi delle Leggi applicabili sulla protezione dei dati.

2. DISPOSIZIONI GENERALI

2.1 Il presente DPA si applica al Trattamento dei dati personali da parte di DocuSign per conto del Cliente o dell’Affiliata del Cliente (a seconda dei casi) per la fornitura dei Servizi DocuSign come specificato nell’Accordo. Salvo laddove diversamente ed espressamente indicato nell’Accordo, il presente DPA è in vigore e rimane in vigore per il Periodo di Validità dell’Accordo.

3. RESPONSABILITÀ DEL TRATTAMENTO E ISTRUZIONI DEL CLIENTE

3.1 Il Cliente è un Titolare del trattamento e DocuSign è un Responsabile per il Trattamento dei dati personali in relazione ai Servizi DocuSign forniti ai sensi dell’Accordo. Ciascuna Parte è responsabile del rispetto dei propri rispettivi obblighi ai sensi delle Leggi applicabili sulla protezione dei dati. A scanso di equivoci, DocuSign non è responsabile del rispetto delle leggi sulla protezione dei dati applicabili al Cliente o al settore del Cliente, come quelle non generalmente applicabili ai fornitori di servizi on-line. Il Cliente riconosce e accetta di aver soddisfatto tutti i requisiti legali necessari affinché DocuSign e/o i Sub-responsabili del trattamento del Servizio DocuSign trattino i Dati personali come autorizzato nell’Accordo.

3.2 DocuSign tratterà i Dati personali solo se necessario per fornire i Servizi DocuSign in conformità con i termini dell’Accordo o secondo le istruzioni del Cliente, anche in formato elettronico. A condizione che le istruzioni del Cliente siano conformi alle Leggi applicabili sulla protezione dei dati, DocuSign rispetterà tali istruzioni nella misura e nei tempi ragionevolmente necessari a DocuSign per (a) rispettare gli obblighi del Responsabile del trattamento ai sensi delle Leggi applicabili sulla protezione dei dati; o (b) assistere il Cliente nell’adempimento degli obblighi del Cliente ai sensi delle Leggi applicabili sulla protezione dei dati relative all’utilizzo da parte del Cliente dei Servizi DocuSign. DocuSign seguirà le istruzioni del Cliente senza costi aggiuntivi per il Cliente qualora DocuSign non preveda di incorrere in costi o commissioni aggiuntivi non ragionevolmente coperti dalle commissioni per i Servizi DocuSign pagabili ai sensi dell’Accordo, incluso, a mero titolo esemplificativo, le commissioni aggiuntive per la licenza o per i terzi appaltatori. Nel caso in cui siano previste spese o commissioni aggiuntive, DocuSign informerà tempestivamente il Cliente non appena riceverà le istruzioni di quest’ultimo e le Parti negozieranno in buona fede in merito a tali spese o commissioni. Nella misura richiesta dalle Leggi applicabili sulla protezione dei dati, DocuSign informerà prontamente il Cliente se, secondo l’opinione di DocuSign, le istruzioni del Cliente violano le Leggi applicabili sulla protezione dei dati. Il Cliente riconosce e accetta che DocuSign non è responsabile dell’esecuzione di ricerche legali e/o della fornitura di consulenza legale al Cliente.

3.3 Salvo diversamente specificato nell’Accordo, il Cliente accetta di non fornire a DocuSign Dati personali sensibili o categorie particolari di dati che impongano a DocuSign specifici obblighi di sicurezza o protezione dei dati in aggiunta a o diversi da quelli specificati nel presente DPA (inclusa qualsiasi appendice al DPA) o nell’Accordo.

3.4 Per quanto riguarda il Trattamento dei dati personali dei consumatori della California da parte di DocuSign ai sensi del California Consumer Privacy Act del 2018 (“CCPA”), le Parti concordano che DocuSign agisce come fornitore di servizi CCPA per i Dati personali. Il Cliente riconosce di non vendere Dati personali a DocuSign e DocuSign accetta che utilizzerà i Dati personali solo per gli scopi specificati nel presente DPA e nell’Accordo. Inoltre, ciascuna Parte accetta che adotterà misure commercialmente ragionevoli per evitare qualsiasi azione ai sensi dell’Accordo che possa far ritenere che l’altra Parte abbia venduto Dati personali ai sensi del CCPA.

4. DOMANDE E RICHIESTE SULLA PRIVACY DA PARTE DEGLI INTERESSATI

4.1 Se il Cliente riceve una richiesta o una domanda da un Interessato in relazione ai Dati personali trattati da DocuSign, il Cliente può (a) accedere ai propri Servizi DocuSign contenenti i Dati personali per rispondere alla richiesta o alla domanda, o (b) nella misura in cui tale accesso non è disponibile al Cliente, contattare l’assistenza clienti di DocuSign per ulteriore assistenza al fine di rispondere alla richiesta o alla domanda.

4.2 Se DocuSign riceve direttamente qualsiasi richiesta o domanda da un Interessato, DocuSign trasmetterà prontamente tale richiesta al Cliente se l’Interessato ha identificato il Cliente come Titolare del trattamento dei dati personali che costituiscono la base della richiesta o della domanda. DocuSign può consigliare all’Interessato di identificare e contattare il/i titolare/i pertinente/i che ha/hanno caricato o inviato i dati personali dell’Interessato per il trattamento da parte dei Servizi DocuSign. Nonostante quanto sopra, il Cliente riconosce e accetta che in qualità di Titolare del trattamento, il Cliente è l’unico responsabile di rispondere alle richieste o alle domande di tale Interessato e che DocuSign non ha alcuna responsabilità di rispondere a un Interessato in nome o per conto del Cliente. Per quanto riguarda i dati anonimizzati o gli altri dati non considerati Dati personali ai sensi delle Leggi applicabili sulla protezione dei dati, le Parti concordano e riconoscono che DocuSign non ha alcun obbligo in qualità di Responsabile del trattamento o ai sensi del presente DPA di re-identificare o collegare le informazioni o intraprendere qualsiasi altra azione che possa comportare che tali dati siano considerati Dati personali.

5. AFFILIATI DOCUSIGN E SUB-RESPONSABILI DEL TRATTAMENTO DEL SERVIZIO DOCUSIGN 

5.1 In base ai termini del presente DPA e dell’Accordo, il Cliente riconosce e accetta che DocuSign può incaricare i Sub-responsabili del trattamento del Servizio DocuSign di trattare i Dati personali in nome o per conto di DocuSign per fornire i Servizi DocuSign. DocuSign sarà responsabile per l’adempimento di tutte le sue obbligazioni ai sensi dell’Accordo, indipendentemente dal fatto che abbia delegato o subappaltato qualsiasi di esse a un Sub-responsabile del trattamento del Servizio DocuSign.

5.2 I Sub-responsabili del trattamento del Servizio DocuSign sono autorizzati da DocuSign a trattare i Dati personali solo in conformità con i termini del presente DPA e dell’Accordo e sono soggetti alle Norme Vincolanti d’Impresa o vincolati da termini scritti che tutelano i Dati personali del Cliente almeno quanto quelli indicati nel presente DPA. Un elenco dei Sub-responsabili del trattamento del Servizio DocuSign di DocuSign (compreso il nome e l’ubicazione di tali Sub-responsabili del trattamento del Servizio DocuSign e le attività che svolgeranno) è disponibile sul sito web di DocuSign all’indirizzo https://www.docusign.com/trust/privacy/subprocessors-list (l’“Elenco dei Sub-responsabili del trattamento”), e la notifica relativa ai nuovi Sub-responsabili del trattamento del Servizio DocuSign è resa disponibile tramite un meccanismo di sottoscrizione come descritto sul sito web di DocuSign. Il Cliente accetta di iscriversi all’Elenco dei Sub-responsabili del trattamento affinché DocuSign possa notificare al Cliente i nuovi Sub-responsabili del trattamento del Servizio DocuSign per i Servizi DocuSign applicabili.

5.3 Il Cliente può opporsi all’utilizzo da parte di DocuSign di un nuovo Sub-responsabile del trattamento del Servizio DocuSign per trattare i Dati personali del Cliente dandone comunicazione scritta a DocuSign entro trenta (30) giorni dalla comunicazione da parte di DocuSign di tale nuovo Sub-responsabile del trattamento del Servizio DocuSign. Se il Cliente si oppone all’utilizzo di un nuovo Sub-responsabile del trattamento del Servizio DocuSign in conformità a quanto sopra, DocuSign ha il diritto di rispondere all’obiezione entro trenta (30) giorni dalla ricezione da parte di DocuSign dell’obiezione del Cliente tramite una delle seguenti opzioni (da selezionare a esclusiva discrezione di DocuSign): (a) DocuSign fornirà un’alternativa commercialmente ragionevole per evitare il Trattamento dei dati personali da parte del Sub-responsabile del trattamento del Servizio DocuSign contestato; o (b) DocuSign cesserà i Servizi DocuSign interessati che comportano l’utilizzo del nuovo Sub-responsabile del trattamento del Servizio DocuSign per trattare i Dati personali del Cliente e fornirà un rimborso proporzionale al Cliente per qualsiasi commissione prepagata ricevuta da DocuSign ai sensi dell’Accordo corrispondente alla parte inutilizzata del Periodo di Validità di tali Servizi DocuSign cessati dopo la data effettiva di cessazione, che sarà l’unico ed esclusivo rimedio del Cliente per i Servizi DocuSign cessati.

5.4 Se e nella misura in cui il Trattamento dei dati personali da parte di DocuSign comporta un trasferimento transfrontaliero di Dati personali a uno o più Sub-responsabili del trattamento del Servizio DocuSign in un Paese che non garantisce un livello adeguato di protezione dei Dati personali, le Parti concordano che prima che tale trasferimento abbia luogo, DocuSign implementerà con tale/i Sub-responsabile/i del trattamento del Servizio DocuSign adeguate garanzie sul trasferimento transfrontaliero in conformità alle Leggi applicabili sulla protezione dei dati.

6. TRASFERIMENTI TRANSFRONTALIERI DEI DATI

6.1 DocuSign può trattare i Dati personali a livello globale se necessario per eseguire i Servizi DocuSign. Nella misura in cui tale accesso globale comporta un trasferimento di Dati personali soggetto a obblighi di trasferimento transfrontaliero ai sensi delle Leggi applicabili sulla protezione dei dati all’interno del gruppo DocuSign, le Norme Vincolanti d’Impresa si applicano al Trattamento dei dati personali da parte di DocuSign e/o delle sue Affiliate nel quadro della fornitura dei Servizi DocuSign ai sensi dell’Accordo. Le Norme Vincolanti d’Impresa sono incorporate per riferimento nel presente DPA e DocuSign si impegna a compiere sforzi commercialmente ragionevoli per mantenere l’autorizzazione regolamentare delle Norme Vincolanti d’Impresa o altre garanzie appropriate per i trasferimenti transfrontalieri per la durata dell’Accordo. Se il Cliente si è iscritto per essere informato delle modifiche alle Norme Vincolanti d’Impresa tramite il meccanismo di sottoscrizione descritto nella pagina Avvisi di DocuSign del sito web di DocuSign, DocuSign informerà il Cliente di eventuali successive modifiche sostanziali alle sue Norme Vincolanti d’Impresa tramite le pertinenti notifiche dell’iscrizione.

6.2 Nel caso in cui le Norme Vincolanti d’Impresa (incluse le tutele ivi previste) unitamente alle necessarie misure supplementari siano ritenute inadeguate dalle Autorità di regolamentazione per i trasferimenti transfrontalieri di Dati personali ai sensi delle Leggi applicabili sulla protezione dei dati, le Parti dovranno stipulare le clausole contrattuali tipo come approvato dalla Commissione europea.

7. INFORMAZIONI E ASSISTENZA

7.1 Previa richiesta scritta, DocuSign fornirà al Cliente un’assistenza ragionevole e le informazioni relative ai Servizi DocuSign forniti ai sensi dell’Accordo per assistere il Cliente (a) nell’effettuazione da parte del Cliente di una valutazione d’impatto sulla privacy dei Servizi DocuSign e (b) in un’indagine da parte di qualsiasi Autorità di regolamentazione nella misura in cui tale indagine si riferisce all’utilizzo da parte del Cliente dei Servizi DocuSign e dei Dati personali trattati da DocuSign in conformità con l’Accordo.

8. MISURE DI SICUREZZA

8.1 DocuSign salvaguarderà i Dati personali con misure tecniche, fisiche e organizzative appropriate progettate per prevenire Incidenti sui dati. Ulteriori dettagli relativi alle misure di sicurezza specifiche che si applicano ai Servizi DocuSign sono descritti nelle Norme Vincolanti d’Impresa e nell’Accordo. Tutti i dipendenti DocuSign, così come tutti i Sub-responsabili del trattamento del Servizio DocuSign che trattano Dati personali, sono soggetti ad adeguati obblighi di riservatezza scritti, inclusa la formazione sulla protezione delle informazioni e la conformità alle politiche di DocuSign relative alla protezione delle Informazioni riservate.

8.2 Il Cliente sarà responsabile della corretta implementazione dei controlli di accesso e utilizzo e della configurazione di determinate caratteristiche e funzionalità dei Servizi DocuSign che il Cliente può scegliere di utilizzare e accetta di farlo in conformità al presente DPA e all’Accordo nel modo che il Cliente ritiene adeguato, compreso, a mero titolo esemplificativo, il mantenimento di un’adeguata sicurezza, protezione, cancellazione e backup dei propri Dati personali.

9. DIRITTI DI VERIFICA

9.1 Le Norme Vincolanti d’Impresa e l’Accordo stabiliscono i diritti di verifica del Cliente come consentito dal presente DPA. Al completamento di qualsiasi verifica, il Cliente fornirà a DocuSign una copia della relazione sulla verifica o altra nota di sintesi (“Relazione sulla verifica”), che è soggetta ai termini di riservatezza dell’Accordo. Il Cliente può utilizzare la Relazione sulla verifica solo allo scopo di soddisfare i propri requisiti di controllo regolamentare e/o confermare la conformità ai requisiti del presente DPA.

9.2 Salvo quanto diversamente stabilito nell’Accordo, ciascuna Parte sosterrà i propri costi in relazione alle verifiche, salvo qualora DocuSign non informi prontamente il Cliente al momento dell’esame della richiesta di verifica del Cliente che prevede di sostenere commissioni o costi aggiuntivi nell’esecuzione di tale verifica che non sono coperti dalle commissioni dovute ai sensi dell’Accordo, incluso, a mero titolo esemplificativo, le commissioni aggiuntive per licenze o appaltatori terzi. Le Parti negozieranno in buona fede tali oneri o commissioni.

9.3 Fatti salvi i diritti di cui alla precedente Sezione 9.1, se l’ambito della verifica richiesta è contemplato in una relazione sulla verifica SOC, ISO, NIST, PCI DSS, HIPAA o simile emessa da un revisore terzo qualificato entro i dodici mesi precedenti e DocuSign fornisce tale relazione al Cliente confermando che non sono noti cambiamenti sostanziali nei controlli verificati, il Cliente conviene di accettare i risultati presentati nella relazione sulla verifica di terze parti invece di richiedere una verifica degli stessi controlli o di controlli sostanzialmente simili coperti dalla relazione.

10. NOTIFICA E GESTIONE DEGLI INCIDENTI

10.1 DocuSign ha implementato controlli e politiche concepiti per rilevare e rispondere prontamente agli Incidenti sui dati. DocuSign dovrà, senza indebito ritardo, segnalare al Cliente qualsiasi Incidente sui dati non appena venga a conoscenza che si è verificato un Incidente sui dati, nella misura in cui ciò non sia altrimenti vietato dalla legge applicabile. L’obbligo di DocuSign di segnalare un Incidente sui dati ai sensi del presente DPA non è e non sarà interpretato come un riconoscimento da parte di DocuSign di qualsiasi colpa o responsabilità di DocuSign in relazione a tale Incidente sui dati. Il Cliente è l’unico responsabile di determinare se notificare gli Interessati coinvolti e di fornire tale notifica, e di determinare se le Autorità di regolamentazione devono essere informate di un Incidente sui dati come potrebbe essere richiesto per gli affari e le attività del Cliente. Fermo restando quanto sopra, il Cliente si impegna a coordinare con DocuSign il contenuto delle dichiarazioni pubbliche o delle notifiche richieste dal Cliente per i soggetti interessati e/o delle notifiche alle Autorità di regolamentazione pertinenti in merito all’Incidente sui dati.

10.3 I dettagli della procedura di risposta e notifica dell’Incidente sui dati stabiliti nell’Allegato sulla Sicurezza per i Servizi DocuSign si applicano di conseguenza.

11. CONTATTO PER LA PRIVACY DI DOCUSIGN

11.1 DocuSign ha nominato un Responsabile per la Privacy e, in alcuni paesi, un Responsabile della protezione dei dati locale. Ulteriori dettagli su come contattare il Responsabile della privacy e, ove applicabile, il Responsabile della protezione dei dati locale sono disponibili nell’Informativa sulla privacy di DocuSign sul sito web di DocuSign all’indirizzo https://www.docusign.com/it-it/privacy/.

12. RESTITUZIONE O SMALTIMENTO

12.1 Prima della risoluzione o della scadenza dell’Accordo per qualsiasi motivo, il Cliente può eliminare i propri Dati Personali trattati dai Servizi DocuSign in conformità con i termini dell’Accordo. Su richiesta scritta del Cliente e al termine dei Servizi DocuSign, DocuSign restituirà prontamente (anche fornendo funzionalità di recupero dei dati disponibili) o cancellerà le copie dei Dati personali sui sistemi DocuSign e sugli ambienti dei Servizi DocuSign, salvo come diversamente indicato nell’Accordo o se le leggi applicabili non richiedano la conservazione dei Dati personali più a lungo.

12.2 Per i Dati personali archiviati nell’ambiente di servizio del Cliente o per i Servizi DocuSign per i quali DocuSign non fornisce alcuna funzionalità di recupero dei dati in blocco come parte dei Servizi DocuSign, si consiglia al Cliente di intraprendere le azioni appropriate per eseguire il backup o altrimenti archiviare separatamente i Dati personali mentre l’ambiente dei servizi DocuSign è ancora attivo prima della cessazione.

APPENDICE DPA EUROPEA

La presente Appendice DPA europea ("Appendice UE”) è incorporata e fa parte del DPA. Salvo diversamente indicato nella presente Appendice UE, i termini in maiuscolo avranno il significato loro attribuito nel corpo principale del DPA.

1. DESCRIZIONE DEL TRATTAMENTO

1.1 Durata. La durata del Trattamento dei dati personali sarà lo stesso Periodo di Validità dell’Accordo, salvo quanto diversamente concordato per iscritto dalle Parti o richiesto dalle Leggi applicabili sulla protezione dei dati.

1.2 Attività di trattamento. DocuSign può trattare i Dati personali se necessario per eseguire i Servizi DocuSign, incluso ove applicabile per l’hosting e l’archiviazione; il backup e il ripristino di emergenza; la gestione del cambio di servizio; la risoluzione dei problemi; l’applicazione di nuove versioni del prodotto o del sistema, patch, aggiornamenti e upgrade; il monitoraggio e il test dell’uso e delle prestazioni del sistema; le finalità di sicurezza informatica inclusa la gestione degli incidenti; la manutenzione e le prestazioni dei sistemi di supporto tecnico e dell’infrastruttura IT; e la migrazione, l’implementazione, la configurazione e il test delle prestazioni. Inoltre, DocuSign può raccogliere, conservare, utilizzare, divulgare e altrimenti trattare i Dati personali per i seguenti ulteriori scopi operativi: (a) per conformarsi alle istruzioni scritte del Cliente, che il Cliente può fornire di volta in volta a DocuSign ai sensi dell’Accordo e del DPA; (b) per divulgare i Dati personali ai propri dipendenti, al personale dell’appaltatore, ai consulenti o ai Sub-responsabili del trattamento del Servizio DocuSign che hanno necessità di conoscere i Dati personali al fine di fornire i Servizi DocuSign e sono soggetti a obblighi di riservatezza almeno altrettanto restrittivi di quelli stabiliti nell’Accordo; (c) per rispettare le Leggi applicabili sulla protezione dei dati o assolvere a qualsiasi richiesta da parte di un’Autorità di regolamentazione o altro organismo governativo o regolamentare (comprese le citazioni in giudizio o le ordinanze del tribunale); e (d) per esercitare azioni legali o difendersi dalle stesse.

1.3 Categorie di Dati personali. Al fine di eseguire i Servizi DocuSign, a seconda dei Servizi DocuSign che il Cliente ha ordinato, DocuSign può elaborare alcune o tutte le seguenti categorie di Dati personali: informazioni di contatto quali nome, indirizzo, numero di telefono o cellulare, indirizzo e-mail e password; beni e servizi forniti; ID univoci raccolti da dispositivi mobili; e indirizzi IP.

1.4 Categorie di Interessati. Le categorie di Interessati i cui Dati personali possono essere trattati al fine di eseguire i Servizi DocuSign possono includere, tra gli altri, l’Amministratore dell’Account del Cliente, gli Utenti autorizzati, i rappresentanti e gli utenti finali, inclusi, a mero titolo esemplificativo, dipendenti, appaltatori, partner, fornitori, clienti e acquirenti del Cliente.