Addendum sulla protezione dei dati

In vigore dal 30 giugno 2023

Per leggere la versione precedente della Protezione dati, fare clic qui.

Il presente Addendum sulla protezione dei dati fa riferimento a e costituisce parte integrante dei Termini di servizio di NextRoll e di qualsiasi Addendum al Servizio applicabile tra NextRoll, Inc., in nome e per conto di se stessa e NextRoll Limited ("NextRoll"), e il Cliente. Entrerà in vigore all'accettazione dei Termini di servizio

Laddove le Leggi vigenti in materia di protezione dei dati tutelino i dati personali trattati ai sensi dell'Accordo, i Clienti possono stipulare il presente Addendum sulla protezione dei dati (che integra le Clausole contrattuali standard): (i) per proteggere i dati personali secondo i requisiti delle Leggi vigenti in materia di protezione dei dati; (ii) per adempiere alle Leggi vigenti in materia di protezione dei dati, che richiedono la messa in atto di un contratto che disciplini il responsabile del trattamento dei dati o le procedure di trattamento dei dati di terze parti a riguardo del trattamento eseguito per conto del titolare e (iii) per fornire tutele adeguate in relazione ai Trasferimenti limitati di dati personali al di fuori dei territori europei.

Il presente Addendum sulla protezione dei dati riflette l'accordo tra le Parti in relazione ai termini che disciplinano il trattamento di dati personali ai sensi del Contratto.

1. DEFINIZIONI

Nel presente Addendum sulla protezione dei dati, i seguenti termini avranno i seguenti significati:

  • "Azienda", "consumatore", "appaltatore", "titolare del trattamento dei dati", "pubblicità comportamentale cross-context", "soggetto interessato", "dati personali", "informazioni personali", "trattare (trattamento)", "vendita" (compresi i termini "vendere", venduto" e altre eventuali variazioni), "fornitore di servizi", o "terze parti" avranno il significato a loro assegnato nelle Leggi vigenti in materia di protezione dei dati.

  • "Dati CRM dei clienti" indica tutti gli indirizzi e-mail in chiaro (ovvero testo normale, senza hash), i nomi, i titoli, la cronologia dei contatti, la cronologia degli ordini o altri dati CRM relativi agli Utenti finali forniti dal Cliente, acquisiti tramite integrazioni di terze parti con i servizi o acquisiti da NextRoll per conto del Cliente in relazione ai servizi. I Dati CRM dei clienti non includono i Dati di servizio o i Report sulle performance (come indicato nei termini di servizio di NextRoll "Termini di servizio".

  • "Dati personali del cliente" fa riferimento ai Dati personali contenuti nei Dati CRM del cliente e nei Dati di servizio;

  • Per "Leggi vigenti in materia di protezione dei dati" si intende qualsiasi legge, regola e norma attualmente in vigore e applicabile in materia di privacy, trattamento e uso dei dati, protezione dei dati, sicurezza o riservatezza dei dati, includendo, senza limitazioni, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (il "GDPR dell'UE"); il GDPR dell'UE come salvato nel diritto del Regno Unito in virtù della Sezione 3 dell'Accordo di recesso UE-Regno Unito del 2018 (il "GDPR del Regno Unito"); la Direttiva UE sulla privacy nelle comunicazioni elettroniche (Direttiva 2002/58/CE); la Legge della California sulla privacy dei consumatori del 2018 e relative modifiche, nonché eventuali normative promulgate ai sensi della stessa ("CCPA"); la Legge della Virginia sulla protezione dei dati dei consumatori ("VCDPA"); la Legge del Colorado sulla privacy e normative correlate ("CPA"); la Legge dello Utah sulla privacy dei consumatori ("UCPA"); la Legge del Connecticut in materia di privacy dei dati personali e monitoraggio online ("CTDPA") e qualsiasi altra legge vigente degli Stati Uniti, statale o federale, in materia di privacy dei dati (collettivamente, "Leggi statunitensi sulla privacy dei dati").

  • "Trasferimento limitato" indica: (i) ove si applica il GDPR dell'UE, il trasferimento di dati personali dallo Spazio Economico Europeo a un Paese al di fuori dello Spazio Economico Europeo che non è soggetto a una determinazione di adeguatezza da parte della Commissione Europea e (ii) ove si applica il GDPR del Regno Unito, un trasferimento di dati personali dal Regno Unito a un altro Paese non soggetto alle normative sull'adeguatezza in base alla Sezione 17A del Data Protection Act del Regno Unito del 2018;

  • "Dati di servizio" indica i dati raccolti da NextRoll dagli Utenti finali tramite la Tecnologia sui Siti del cliente, compresi dati ottenuti da terzi durante la fornitura dei servizi. I Dati di servizio non includono i Dati CRM dei clienti. Se il Cliente accetta il monitoraggio conversione o utilizza i servizi RollWorks ABM per autorizzare NextRoll a convertire in hash gli indirizzi e-mail degli Utenti finali dai Siti del cliente, tali indirizzi e-mail degli Utenti finali convertiti in hash costituiranno Dati di servizio. (Questa è la definizione indicata nei Termini di servizio che regolano l'accordo fra le parti).

  • "Clausole contrattuali standard" indica: (i) laddove si applica il GDPR dell'UE, le clausole contrattuali allegate alla decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio ("SCC UE"); e (ii) laddove si applichi il GDPR del Regno Unito, l'Addendum alle Clausole contrattuali standard della Commissione europea emanato dall'Information Commissioner del Regno Unito, Versione B1.0, in vigore dal 21 marzo 2022 ("SCC del Regno Unito").

Eventuali altri termini in maiuscolo non definiti nel presente Addendum sulla protezione dei dati avranno il significato loro attribuito nel Contratto.

2. RAPPORTO TRA LE PARTI

Se il Cliente è il "titolare del trattamento dei dati" ai sensi delle Leggi vigenti in materia di protezione dei dati, nominerà NextRoll come responsabile dell'elaborazione dei Dati CRM dei clienti, come descritto nell'Allegato I.

Se il Cliente è un'"azienda" ai sensi delle Leggi vigenti in materia di protezione dei dati, il cliente metterà i Dati CRM dei clienti a disposizione di NextRoll per fornire pubblicità comportamentale cross-context al Cliente e NextRoll si configura come Terza parte ai sensi delle Leggi vigenti in materia di protezione dei dati, in quanto la pubblicità comportamentale cross-context non è uno scopo commerciale consentito ad appaltatori o fornitori di servizio ai sensi di tali Leggi.

Ciascuna parte è titolare del trattamento dei dati che compongono i Dati di servizio, nella misura in cui tali Dati di servizio sono sotto la sua rispettiva custodia o controllo, a condizione che quanto sopra esposto non sia inteso ad alterare, modificare o limitare (a) gli obblighi di ciascuna parte in materia di notifiche, permessi e consensi relativi a tali Dati di servizio, (b) i diritti di accesso, uso, proprietà o modifica di tali Dati di servizio, come possono essere altresì esposti nei Termini di servizio, o (c) gli obblighi di contitolarità che possono essere imposti dalla legge, ad esempio per quanto riguarda l'ottenimento del consenso ai fini della Legge applicabile sulla protezione dei dati.

3. DATI PROIBITI

Il Cliente non deve divulgare alcuna categoria speciale di dati personali (come definiti nella Legge vigente in materia di protezione dei dati) per il trattamento da parte di NextRoll.

4. LIMITAZIONE DELLO SCOPO

NextRoll tratterà i Dati CRM del Cliente in qualità di incaricato del trattamento dei dati per gli scopi descritti nell'Allegato I al fine di adempiere agli obblighi previsti dal Contratto, in conformità con la Legge vigente in materia di protezione dei dati e in stretta conformità con le istruzioni documentate del Cliente (lo "Scopo consentito") salvo ove diversamente previsto da una o più leggi che non siano incompatibili con la Legge vigente in materia di protezione dei dati. In nessun caso NextRoll tratterà i Dati CRM del Cliente per i propri scopi o per quelli di terzi. NextRoll informerà immediatamente il Cliente qualora venga a conoscenza del fatto che le istruzioni di trattamento del Cliente violano la Legge applicabile sulla protezione dei dati.

5. TRASFERIMENTI LIMITATI

5.1. Le parti convengono che quando il trasferimento dei Dati personali dei clienti da parte del Cliente a NextRoll è un Trasferimento limitato, questo sarà soggetto alle Clausole contrattuali standard adeguate come stabilito nella presente clausola 5.

5.2. In relazione ai Dati di servizio protetti dal GDPR dell'UE, si applicheranno le SCC UE completate come segue:

  • Sarà valido il Modulo uno;
  • nella Clausola 7 si applicherà la clausola di ancoraggio facoltativa;
  • nella Clausola 17 si applicherà l'Opzione 1 e le SCC UE saranno disciplinate dal diritto irlandese;
  • nella Clausola 18 (b) le controversie saranno risolte dinanzi ai tribunali irlandesi;
  • l'Allegato I delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato I al presente Addendum sulla protezione dei dati; e
  • l'Allegato II delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato II al presente Addendum sulla protezione dei dati.

5.3. In relazione ai Dati CRM del Cliente protetti dal GDPR dell'UE, si applicheranno le SCC UE completate come segue:

  • Sarà valido il Modulo due;
  • nella Clausola 7, si applicherà la clausola di ancoraggio facoltativa;
  • nella Clausola 9 si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche del subincaricato sarà quello indicato nella Clausola 8.3 del presente Addendum sulla protezione dei dati;
  • nella Clausola 11, la lingua facoltativa non si applicherà;
  • nella Clausola 17, si applicherà l'Opzione 1 e le SCC UE saranno disciplinate dal diritto irlandese;
  • nella Clausola 18 (b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
  • l'Allegato I delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato I al presente Allegato sulla protezione dei dati; e
  • l'Allegato II delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato II al presente Allegato sulla protezione dei dati; e

5.4. In relazione ai Dati CRM del Cliente e ai Dati di servizio protetti dal GDPR del Regno Unito, saranno applicate e saranno considerate eseguite tra il Cliente e NextRoll le SCC del Regno Unito, con le Tabelle delle SCC del Regno Unito compilate come segue:

  • Tabella 1: i dettagli delle Parti saranno le Parti come indicate nell'Allegato I.A. per il presente Addendum sulla protezione dei dati e le relative affiliate nella misura in cui esse siano coinvolte in tale trasferimento. Il contatto principale per ciascuna Parte consisterà nei contatti indicati nell'Allegato I.A. per il presente Addendum sulla protezione dei dati.
  • Tabella 2: le Clausole contrattuali standard approvate dell'UE di cui alla Tabella 2 saranno le SCC dell'UE, completate come precedentemente indicato nelle clausole 5.2 (per i trasferimenti che coinvolgono i Dati di servizio) o 5.3 (per i trasferimenti che coinvolgono i Dati CRM del cliente) del presente Addendum sulla protezione dei dati, in base al tipo di dati trasferiti.
  • Tabella 3: gli Allegati IA, IB e II indicati nell'Allegato I e II al presente Addendum sulla protezione dei dati. L'Allegato 3 non è applicabile.
  • Tabella 4: NextRoll può cessare le SCC del Regno Unito come indicato nella Sezione 19 delle SCC del Regno Unito.

5.5. Nella misura in cui una qualsiasi disposizione del presente Addendum sulla protezione dei dati o del Contratto contraddica, direttamente o indirettamente, le Clausole contrattuali standard, prevarranno le Clausole contrattuali standard.

6. RISERVATEZZA DEL TRATTAMENTO

NextRoll dovrà garantire che qualsiasi persona autorizzata a trattare i Dati personali dei clienti (inclusi il personale, gli agenti e i subincaricati di NextRoll) (una "Persona autorizzata") sia soggetta a un rigoroso obbligo di riservatezza (sia esso un obbligo contrattuale o un obbligo legale) e non dovrà consentire a nessuno di trattare i Dati personali dei clienti senza essere soggetto a tale obbligo di riservatezza. NextRoll dovrà garantire che tutte le Persone autorizzate trattino i Dati personali dei clienti solo se necessario per lo Scopo consentito.

7. SICUREZZA

NextRoll dovrà attuare misure tecniche e organizzative adeguate per proteggere i Dati personali dei clienti da distruzione, perdita, alterazione accidentale o illegale o da divulgazione o accesso non autorizzato (un "Incidente di sicurezza"). Tali misure dovranno tenere in considerazione lo stato dell'arte, i costi di implementazione e la natura, l'ambito, il contesto e gli scopi del trattamento, nonché il rischio di vari tipi di probabilità e gravità per i diritti e le libertà delle persone fisiche.

Come minimo, tali misure devono comprendere le misure di cui all'Allegato II.

8. SUB-TRATTAMENTO

8.1. La presente clausola 8 si applica solo per quanto riguarda il trattamento dei Dati CRM del Cliente da parte di NextRoll e non per il trattamento dei Dati di servizio da parte di NextRoll.

8.2. Il Cliente acconsente all'utilizzo da parte di NextRoll dei subincaricati indicati all'URL https://www.nextroll.com/terms/data-protection/subprocessors ("Pagina subincaricati") per trattare i Dati CRM del Cliente.

8.3. Il Cliente acconsente che NextRoll si avvalga di subincaricati terzi supplementari o sostitutivi per il trattamento dei Dati CRM del Cliente, a condizione che: (i) NextRoll aggiorni la sua Pagina subincaricati con i dettagli di qualsiasi modifica proposta relativamente ai subincaricati almeno quattordici 14 giorni prima della nomina o della sostituzione di un subincaricato (il Cliente può iscriversi al feed RSS per la Pagina subincaricati per ricevere automaticamente tutte le notifiche in merito); (ii) NextRoll imponga a qualsiasi subincaricato nominato termini di protezione dei Dati CRM del Cliente sostanzialmente equivalenti a quelli previsti nel presente Addendum sulla protezione dei dati; e (iii) NextRoll rimanga pienamente responsabile per qualsiasi violazione della presente clausola causata da un atto, errore od omissione del subincaricato.

8.4. Se il Cliente si oppone alla nomina da parte di NextRoll di un subincaricato aggiuntivo o sostitutivo per motivi ragionevoli relativi alla protezione dei Dati CRM del Cliente, NextRoll non nominerà il subincaricato o, qualora ciò non fosse possibile, il Cliente potrà decidere di sospendere o risolvere il Servizio in questione (a prescindere dalle spese sostenute dal Cliente prima della sospensione o della risoluzione).

9. ASSISTENZA AL CLIENTE

9.1. NextRoll assisterà il Cliente nell'adempimento degli obblighi del Cliente ai sensi della Legge vigente in materia di protezione dei dati, nella misura richiesta da tale Legge vigente in materia di protezione dei dati.

9.2. Qualora NextRoll ritenga o venga a conoscenza del fatto che il proprio trattamento dei Dati CRM del Cliente può comportare un elevato rischio per i diritti e le libertà di protezione dei dati dei soggetti interessati, informerà tempestivamente il Cliente e NexRoll fornirà al Cliente tutta l'assistenza ragionevole e tempestiva che questi richiederà per condurre una valutazione dell'impatto della protezione dei dati in conformità con la Legge vigente in materia di protezione dei dati, inclusa, se necessario, l'assistenza al Cliente nel richiedere consulenza all'autorità competente per la protezione dei dati.

9.3. Richieste del Soggetto interessato.

  • Per quanto riguarda i dati CRM del Cliente, NextRoll fornirà tutta l'assistenza ragionevole e tempestiva al Cliente per consentire al Cliente di rispondere a: (i) qualsiasi richiesta di un soggetto interessato in merito all'esercizio di uno qualsiasi dei suoi diritti ai sensi della Legge vigente in materia di protezione dei dati (inclusi i suoi diritti di accesso, correzione, obiezione, cancellazione e portabilità dei dati, a seconda dei casi) in connessione con i Dati CRM del Cliente; e (ii) qualsiasi altra corrispondenza, richiesta o reclamo ricevuto da un soggetto interessato, autorità di regolamentazione o altro soggetto terzo in relazione al trattamento dei Dati CRM del Cliente. Nel caso in cui tale richiesta, corrispondenza, interrogazione o reclamo vengano inoltrati direttamente a NextRoll, NextRoll informerà tempestivamente il Cliente fornendo ogni dettaglio a riguardo.
  • Per quanto riguarda i Dati di servizio, NextRoll risponderà alle richieste dei Soggetti interessati come previsto dalla Legge vigente in materia di protezione dei dati e, se del caso, il Cliente fornirà assistenza a NextRoll in relazione a tale risposta.

10. INCIDENTI DI SICUREZZA

Una volta venuta a conoscenza di un Incidente di sicurezza confermato, NextRoll informerà il Cliente senza indebito ritardo e fornirà tempestivamente tutte le informazioni e la cooperazione che il Cliente richiederà per poter adempiere ai propri obblighi di segnalazione delle violazioni relative ai dati (e in conformità con le tempistiche richieste) secondo la Legge vigente in materia di protezione dei dati. NextRoll intraprenderà inoltre tutte le misure e le azioni necessarie per porre rimedio o mitigare gli effetti di un Incidente di sicurezza confermato e terrà il Cliente aggiornato su tutti gli sviluppi relativi all'Incidente di sicurezza confermato.

11. CANCELLAZIONE O RESTITUZIONE DEI DATI

Alla risoluzione o alla scadenza del Contratto, NextRoll distruggerà tutti i Dati CRM del Cliente (incluse tutte le copie dei Dati CRM del Cliente) in suo possesso o sotto il suo controllo (inclusi i Dati personali dei clienti subappaltati a terzi per il trattamento) su richiesta del Cliente o in conformità con l'Informativa di NextRoll in materia di conservazione dei dati consultabile all'indirizzo https://www.nextroll.com/privacy. Questo requisito non si applica nella misura in cui qualsiasi legge applicabile richieda a NextRoll di conservare alcuni o tutti i Dati CRM del Cliente, nel qual caso NextRoll isolerà e proteggerà i Dati CRM del Cliente da qualsiasi ulteriore trattamento, eccetto che nella misura richiesta da tale legge fino a quando risulti possibile cancellarli.

NextRoll può conservare i Dati di servizio in conformità con le proprie politiche di conservazione ed eliminazione.

12. AUDIT

12.1. Per quanto riguarda il trattamento dei Dati di Servizio da parte di NextRoll, NextRoll metterà a disposizione del Cliente, su richiesta, la documentazione sufficiente a dimostrare la conformità di NextRoll con il presente Addendum e/o con la Legge vigente in materia di protezione dei dati.

12.2. Per quanto riguarda il trattamento dei Dati CRM del Cliente da parte di NextRoll, NextRoll dovrà consentire al Cliente (o ai suoi revisori terzi designati) di verificare la conformità di NextRoll al presente Addendum sulla protezione dei dati, e dovrà mettere a disposizione del Cliente tutte le informazioni, i sistemi e il personale necessari affinché il Cliente (o i suoi revisori terzi) possano condurre tale audit. NextRoll prende atto del fatto che il Cliente (o i suoi revisori terzi) può accedere ai locali di proprietà o sotto il controllo di NextRoll solo ai fini dello svolgimento di tale audit, a condizione che il Cliente fornisca un preavviso ragionevole della propria intenzione di procedere all'audit, la svolga durante i normali orari di lavoro e adotti ogni ragionevole misura per evitare inutili interruzioni delle operazioni di NextRoll. Il Cliente non eserciterà i propri diritti di audit (incluso l'invio a NextRoll di domande scritte relative all'audit) più di una volta nell'arco di qualsiasi periodo di dodici (12) mesi solari, eccetto (i) se e quando richiesto dalle istruzioni di un'autorità competente in materia di protezione dei dati; o (ii) qualora il Cliente ritenga che sia necessaria un ulteriore audit a causa di un Incidente di sicurezza confermato ai danni di NextRoll. Il Cliente avrà l'esclusiva responsabilità dei costi di tale audit, e NextRoll sarà autorizzata ad addebitare al Cliente il supporto da questa fornito in relazione a tale audit, in base alle tariffe giornaliere dei suoi servizi professionali in vigore al momento.

12.3. Il Cliente prende atto del fatto che NextRoll viene sottoposta a controlli regolari in base agli standard SOC 2 da parte di revisori terzi indipendenti. Su richiesta, NextRoll fornirà al Cliente una copia riepilogativa del/i suo/i rapporto/i di audit, che sarà soggetto alle disposizioni sulla riservatezza previste nel Contratto.

12.4. Il Cliente concorda che, se e nella misura in cui decida di condurre un audit relativamente al trattamento dei Dati CRM del Cliente da parte di NextRoll ai sensi della Clausola 8.9 del Modulo 2 delle Clausole contrattuali standard, tale audit sarà condotto in conformità con i requisiti della presente Clausola 13.2 - 13.4.

13. OSSERVANZA DELLE LEGGI APPLICABILI

13.1. NextRoll adempierà a tutte le Leggi vigenti in materia di protezione dei dati fra cui, a titolo di esempio, la fornitura dello stesso livello di protezione della privacy dei Dati CRM dei clienti richiesto alle aziende ai sensi delle Leggi statunitensi in materia di privacy dei dati.

13.2. Dal canto suo, il Cliente dovrà assicurare di aver trasmesso comunicazioni legalmente sufficienti sulla modalità di raccolta dei Dati di servizio, sul loro utilizzo e su come vengono consegnati a NextRoll.

14. GARANZIE, RIMEDI E AVVISI

14.1. Il Cliente ha il diritto di intraprendere passaggi appropriati e ragionevoli per assicurarsi che NextRoll utilizzi i Dati CRM dei clienti in modo coerente con gli obblighi del Cliente ai sensi delle Leggi vigenti in materia di protezione dei dati.

14.2. Il Cliente ha il diritto, previa notifica, di intraprendere azioni appropriate e ragionevoli per interrompere e correggere l'uso non autorizzato dei Dati CRM dei clienti messi a disposizione di NextRoll.

14.3. NextRoll avviserà il Cliente qualora determini di non essere più in grado di rispettare i propri obblighi ai sensi delle Leggi vigenti in materia di protezione dei dati.

ALLEGATO I

DESCRIZIONE DEL TRATTAMENTO DEI DATI

IL PRESENTE ALLEGATO I È PARTE INTEGRANTE DELL'ADDENDUM SULLA PROTEZIONE DEI DATI E DESCRIVE IL TRATTAMENTO CHE NEXTROLL ESEGUIRÀ PER CONTO DEL CLIENTE.

A. Elenco delle parti

Cliente/i / Esportatore/i di dati:

Nome:
Il Cliente che ha stipulato il Contratto con NextRoll.
Indirizzo:
L'indirizzo che il Cliente ha fornito al momento della registrazione per l'uso della piattaforma di marketing digitale di NextRoll.
Nome, posizione e recapiti della persona di contatto:
I recapiti che il Cliente ha fornito al momento della registrazione per l'uso della piattaforma di marketing digitale di NextRoll.
Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole:
La ricezione dei servizi di marketing digitale forniti da NextRoll ai sensi del Contratto.
Firma e data:
Il presente Addendum sulla protezione dei dati (comprese le Clausole contrattuali standard) si considera eseguito al momento dell'accettazione del Contratto da parte del Cliente.
Ruolo (titolare/incaricato del trattamento dei dati):
Titolare del trattamento dei dati o Azienda (per i Dati CRM dei clienti)
Titolare del trattamento dei dati o Azienda (per i Dati di servizio)

NextRoll / Importatore/i dei dati:

Nome:
NextRoll, Inc.
Indirizzo:
2300 Harrison Street, FL 2, San Francisco, CA 94110, USA
Nome, posizione e recapiti della persona di contatto:
Team privacy di NextRoll: privacy@nextroll.com
Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole:
La fornitura di servizi di marketing digitale al Cliente ai sensi del Contratto.
Firma e data:
Il presente Addendum sulla protezione dei dati (comprese le Clausole contrattuali standard) si considera eseguito al momento dell'accettazione del Contratto da parte del Cliente.
Ruolo (titolare/incaricato del trattamento dei dati):
Responsabile del trattamento dei dati o Terza parte (per i Dati CRM dei clienti)
Titolare del trattamento dei dati (per i Dati di servizio)

В. Descrizione di trasferimento

Categorie di soggetti interessati i cui dati personali vengono trasferiti
  • Soggetti interessati che sono clienti potenziali e attuali del Cliente ("Soggetti interessati clienti")
  • Soggetti interessati che sono dipendenti o membri dello staff del Cliente ("Soggetti interessati dipendenti")
  • Soggetti interessati che visualizzano i siti Web del cliente in cui è posizionato il pixel di NextRoll ("Utenti finali del Cliente")
Categorie di dati personali trasferiti:
  • Dati CRM dei clienti: informazioni di contatto e qualsiasi altra informazione delle affiliate (come indirizzo e-mail, nome, indirizzo, numero di telefono, nome azienda, qualifica professionale) sui Dati del soggetto interessato forniti dal Cliente (in qualità di esportatore dei dati) a NextRoll (in qualità di importatore dei dati), acquisite tramite integrazioni di terze parti con i servizi consentiti dal Cliente o acquisite da NextRoll per conto del Cliente in relazione ai servizi.
  • Dati dei dipendenti del Cliente: gli indirizzi e-mail e IP dei dipendenti del Cliente vengono trasferiti se e quando un Dipendente conduce un'attività di accesso sulla dashboard della piattaforma di marketing digitale di NextRoll.
  • Dati degli utenti finali: informazioni sul dispositivo e sul comportamento di navigazione sui siti dei Clienti raccolte dal pixel di NextRoll (ad esempio cookie, informazioni sul dispositivo, indirizzo IP, dati di localizzazione non precisi, dati del browser, dati del pixel pubblicitario) e, se consentito dal Cliente, indirizzi e-mail hashed inseriti sul sito del Cliente dagli Utenti finali clienti (collettivamente, "Dati di servizio").
Dati sensibili trasferiti (ove applicabile) e restrizioni o tutele applicate che prendono pienamente in considerazione la natura dei dati e i rischi del caso, ad esempio una rigorosa limitazione dello scopo, restrizioni di accesso (incluso l'accesso limitato allo staff che ha seguito una formazione specialistica), mantenimento di un registro di accessi ai dati, limitazioni per ulteriori trasferimenti o misure di sicurezza aggiuntive:
  • Nessuno.
La frequenza di trasferimento (ad es. se i dati vengono trasferiti una sola volta o in maniera continuativa):
  • In maniera continuativa per la durata del Contratto.
Natura del trattamento:
  • La fornitura di servizi di marketing digitale al Cliente ai sensi del Contratto
Scopi specifici e limitati del trasferimento dei dati e ulteriore trattamento:

I servizi di marketing digitale forniti da NextRoll includeranno il trattamento dei Dati CRM del Cliente per conto del Cliente per i seguenti scopi:

  • Inviare le e-mail ai Soggetti interessati clienti su richiesta del Cliente.
  • Collegare i dati personali dei Soggetti interessati clienti (e-mail hashed) con i Dati di servizio di NextRoll e i dati online dei partner pubblicitari terzi al fine di riconoscere i Soggetti interessati clienti quando visitano i siti web di publisher terzi, per offrire e distribuire annunci mirati per conto del Cliente e per integrare il Dati CRM del Cliente con i comportamenti di navigazione e le interazioni identificati sui siti dei Clienti con il marketing diretto dei Clienti, laddove il Cliente disponga dell'autorizzazione ai sensi delle Leggi vigenti in materia di protezione dei dati.
  • Misurare le performance delle campagne pubblicitarie via e-mail e online erogate ai Soggetti interessati clienti per fornire informazioni al Cliente.
  • Utilizzare le e-mail appartenenti ai Soggetti interessati dipendenti clienti come dati di accesso alla dashboard della piattaforma di marketing digitale di NextRoll.
  • Registrare l'indirizzo IP dei Soggetti interessati dipendenti clienti che hanno effettuato l'accesso alla dashboard della piattaforma di marketing digitale di NextRoll.

I servizi di marketing digitale forniti da NextRoll includeranno l'elaborazione dei Dati di servizio, di cui sia NextRoll che il Cliente sono titolari nella misura in cui tali Dati di servizio siano controllati o custoditi dal Cliente o da NextRoll.

I Dati di servizio possono essere trattati da NextRoll anche in qualità di titolare del trattamento dei dati per fornire e migliorare i propri servizi per tutti i clienti, fra cui targeting degli annunci, reportistica, misurazione, analisi, intuizioni, creazione dei Report delle performance per il Cliente e selezione degli annunci.

Gli indirizzi IP contenuti nei Dati di servizio vengono elaborati per identificare l'azienda o il dominio preciso associati o assegnati all'indirizzo IP e per migliorare i servizi per tutti i clienti. 

Se all'interno dei Dati di servizio sono contenuti indirizzi e-mail hashed, saranno combinati con i cookie di identificazione per riconoscere i Soggetti interessati clienti quando visitano siti web di publisher terzi, per offrire e distribuire annunci mirati per conto del Cliente e per integrare i Dati CRM del Cliente con i comportamenti di navigazione e le interazioni identificati sui siti dei Clienti con il marketing diretto dei Clienti, laddove il Cliente disponga dell'autorizzazione ai sensi delle Leggi vigenti in materia di protezione dei dati.

I Dati di servizio non vengono messi a disposizione né in altro modo divulgati ad altre parti o fra i nostri Clienti, salvo nel caso in cui tale parte sia (i) un subappaltatore che tratta i Dati di servizio per scopi di prevenzione delle frodi o di rilevamento di bug tecnici o (ii) un contitolare indipendente dei cookie di identificazione utilizzati per abbinare i cookie al fine di erogare gli annunci online o in-app tramite i partner di fornitura di inventario degli annunci di NextRoll.

Il periodo di tempo per il quale i dati personali verranno conservati o, qualora ciò non sia possibile, i criteri utilizzati per stabilire tale periodo:
  • In caso di rescissione esplicita dei servizi NextRoll da parte del Cliente o NextRoll ai sensi del Contratto, NextRoll cancellerà i Dati CRM del Cliente entro 90 giorni dalla data di rescissione.
  • Se l'account di un Cliente è stato sospeso per 90 giorni o più, i Dati CRM del Cliente saranno cancellati.
  • Quando un Cliente non si è collegato al proprio account NextRoll negli ultimi 365 giorni e non vi è stato alcun utilizzo del prodotto negli ultimi 30 giorni e nessuna spesa per i media è stata fatta negli ultimi 30 giorni, i Dati CRM del Cliente saranno eliminati allo scadere del 366esimo giorno di mancata attività dell'account.
  • In qualità di titolare del trattamento dei dati per i dati di servizio, NextRoll potrà conservare i Dati di servizio in conformità con le proprie politiche di conservazione dei dati, identificate nella Sezione 9 dell'Informativa sulla privacy di NextRoll.
Per i trasferimenti ai (sub)incaricati, specificare anche l'oggetto, la natura e la durata del trattamento:
L'oggetto, la natura e la durata del trattamento sono come specificato sopra e nel Contratto.

C. Autorità di vigilanza competente

Individuare la/e autorità di vigilanza competente/i in conformità (ad es. con la Clausola 13 delle SCC)
L'autorità di vigilanza competente dovrà essere stabilita in conformità con la Clausola 13 delle Clausole contrattuali standard.

ALLEGATO II

MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

Descrizione delle misure tecniche e organizzative attuate dal/i responsabile/i del trattamento dei dati / dall'/dagli importatore/i di dati (comprese eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenendo conto della natura, della portata, del contesto e dello scopo del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

 
Misura
Descrizione
1
Misure di pseudonimizzazione e crittografia dei dati personali

Nel processo di progettazione, NextRoll punta a ridurre al minimo la raccolta e l'utilizzo dei Dati personali dei clienti ove possibile.

Laddove vengano utilizzati i Dati personali dei clienti, questi saranno pseudonimizzati mediante aggregazione, de-identificazione o hashing, a meno che i dati grezzi non siano necessari per uno scopo commerciale legittimo. Qualora siano richiesti i dati effettivi, questi verranno crittografati utilizzando gli standard di crittografia attuali.

2
Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione
Vedere il punto 4 qui di seguito.
3
Misure per garantire la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di incidenti fisici o tecnici

I sistemi di NextRoll sono progettati per essere altamente disponibili e sfruttare architetture scalabili e distribuite che coprono più posizioni geografiche su AWS.

NextRoll gestisce il monitoraggio del sistema e un centro operativo 24 ore su 24, 7 giorni su 7, per affrontare i problemi operativi.

NextRoll ha creato e testa regolarmente piani di disaster recovery. Questi piani includono specifiche su come recuperare i servizi e hanno indicato obiettivi di tempo e di punto di ripristino, nonché specifici processi di risposta e reporting per incidenti che coinvolgono i dati personali.

4
Processi per testare, determinare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

NextRoll conduce una verifica annuale SOC 2 Tipo 2.

NextRoll gestisce un programma di conformità continuo in cui i controlli e i processi di sicurezza vengono monitorati automaticamente e le anomalie vengono segnalate per trovarvi rimedio.

Inoltre, NextRoll conduce la scansione delle vulnerabilità, gestisce un programma bug bounty continuo e ogni sei mesi conduce un test di penetrazione utilizzando un soggetto terzo. Tecnologie come cloud security posture management (CSPM) e gestione delle risorse (CMDB) effettuano continuamente l'asset discovery, ne valutano il posture e mettono i risultati in ordine di priorità in base al rischio che rappresentano.

5
Misure di identificazione e autorizzazione degli utenti

Per ciascuna delle applicazioni AdRoll e RollWorks, NextRoll gestisce un servizio centralizzato di autenticazione e autorizzazione che supporta l'autenticazione con accesso singolo (SSO) e l'autenticazione a più fattori (MFA). I controlli degli accessi vengono applicati in base al ruolo assegnato all'utente nel dominio applicativo.

Per le applicazioni aziendali di NextRoll con accesso remoto, NextRoll utilizza una soluzione SSO SaaS di terzi che prevede l'MFA per tutti gli utenti di NextRoll. Sono stati predisposti anche i controlli di accesso basati sui ruoli (RBAC).

6
Misure per la protezione dei dati durante la trasmissione
Tutte le connessioni ai servizi rivolti ai clienti di NextRoll che avvengono su reti pubbliche sono crittografate utilizzando TLS 1.2 o superiore con un set approvato di algoritmi crittografici. La tecnologia CSPM consente di monitorare costantemente l'applicazione e segnala le discrepanze.
7
Misure per la protezione dei dati durante l'archiviazione dei dati
I Dati personali dei clienti vengono crittografati utilizzando standard di crittografia moderni come definiti dagli standard crittografici di NextRoll. La tecnologia CSPM consente di monitorare costantemente l'applicazione e segnala le discrepanze. L'accesso alle banche dati è basato sui ruoli, limitato ai casi d'uso approvati e riesaminato regolarmente.
8
Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali
Il trattamento dei dati di NextRoll avviene su AWS. Di conseguenza, la sicurezza fisica viene assicurata nell'ambito di questo servizio dal fornitore in questione.
9
Misure per garantire la registrazione degli eventi

Le applicazioni, i sistemi e i servizi di rete di NextRoll creano una registrazione dettagliata che include, a titolo esemplificativo, il successo e il fallimento dell'accesso, la creazione degli utenti, la modifica delle autorizzazioni, l'accesso ai dati, le transazioni fraudolente e i tentativi di attacco.

Gli eventi vengono inoltrati a un deposito centrale di sola scrittura e vengono analizzati per individuare potenziali problemi di sicurezza. La soluzione SIEM (Security Information and Event Management Solution) normalizza i log e applica l'intelligence sulle minacce per individuare gli indicatori di compromissione (IoC).

NextRoll ha predisposto una serie di prodotti di sicurezza che forniscono avvisi di sicurezza specifici basati su regole di monitoraggio condizionale e delle anomalie. Questi vengono forniti e aggiornati continuamente dai fornitori, insieme a regole sviluppate internamente.

10
Misure per garantire la configurazione del sistema, compresa la configurazione predefinita

NextRoll archivia e distribuisce configurazioni di sistema standard. Queste immagini vengono scansionate utilizzando strumenti che stabiliscono che i sistemi sono configurati utilizzando le migliori prassi consigliate e che non contengono gravi vulnerabilità.

È stata predisposta la funzionalità di monitoraggio dell'integrità dei file (FIM), che segnala le modifiche al CSPM. Unitamente alla soluzione CMDB, NextRoll è in grado di individuare le discrepanze rispetto alle configurazioni standard.

11
Misure per l'IT interna e la gestione e governance della sicurezza IT

NextRoll dispone di un programma di sicurezza olistico che gestisce il rischio posto da utenti, dati, sistemi e fornitori nell'intero ciclo di vita. Questo include:

  • La creazione di utenti con autorizzazioni appropriate al rispettivo ruolo, l'adesione ad accordi di riservatezza e la formazione su best practice e politiche di sicurezza e privacy. L'accesso dell'utente è legato allo status lavorativo, quindi account e diritti vengono revocati automaticamente alla cessazione del rapporto di lavoro
  • Gli utenti sono tenuti a utilizzare tecnologie MFA e di accesso remoto sicuro per accedere alle risorse con un approccio zero-trust.
  • I dispositivi sono dotati di controlli e build standardizzati.
  • I dispositivi sono protetti da malware con una soluzione aziendale gestita centralmente e integrata nelle funzionalità di monitoraggio continuo della sicurezza.
  • I dispositivi non aziendali (BYOD) hanno accesso condizionale alle risorse in base all'architettura zero-trust, a seconda del punteggio di rischio che pongono e del punteggio di rischio minimo necessario per accedere alle risorse.
  • I fornitori vengono controllati per garantire che non creino rischi inaccettabili.
  • Viene mantenuto uno standard di sicurezza degli endpoint aziendali, che specifica la versione minima del software critico. I sistemi vengono aggiornati regolarmente.
  • Le autorizzazioni vengono riesaminate e rimosse regolarmente.
  • I sistemi vengono svuotati alla fine del loro ciclo di vita.
12
Misurazioni per la certificazione/garanzia di processi e prodotti

NextRoll basa il suo programma di sicurezza su NIST CSF e la utilizza per segnalare lo status al comitato per la sicurezza e la conformità.

NextRoll verifica i propri processi e prodotti e conduce un audit annuale SOC 2 di tipo 2 utilizzando un revisore esterno.

Le tecnologie CSPM e CMDB forniscono inoltre benchmark basati sulle migliori prassi e su framework di sicurezza riconosciuti.

13
Misurazioni per garantire la minimizzazione dei dati
NextRoll implementa la minimizzazione dei dati come standard durante il processo di progettazione. Tutti i nuovi utilizzi dei Dati personali dei clienti vengono esaminati e approvati in base a questo requisito.
14
Misure per garantire la qualità dei dati
NextRoll tratta i Dati personali forniti dal Cliente. Pertanto, il Cliente è responsabile di garantire l'accuratezza dei propri Dati personali.
15
Misure per garantire una conservazione limitata dei dati
NextRoll ha istituito criteri di conservazione dei dati basati sui tipi di dati raccolti che vengono applicati automaticamente utilizzando le impostazioni TTL (Time to Live) sulle banche dati.
16
Misure per garantire la responsabilità
NextRoll ha predisposto una struttura di governance che include una serie di misure di responsabilità, tra cui la nomina di un Responsabile della protezione dei dati (dettagli elencati nella nostra Informativa sulla privacy: https://nextroll.com/it-IT/privacy), l’attuazione del principio di 'privacy by design' che prevede lo svolgimento di valutazioni dell'impatto sulla privacy dei dati come richiesto, e un Comitato per la sicurezza e la conformità.
17
Misure per consentire la portabilità dei dati e garantire la cancellazione
NextRoll ha un processo automatizzato per l'eliminazione dei Dati personali dei clienti su richiesta entro i tempi stabiliti dalla Legge vigente in materia di protezione dei dati e consente il download dei Dati personali dei clienti da fornire a fornitori di servizi alternativi.

Per i trasferimenti a subincaricati del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-) incaricato del trattamento deve adottare per essere in grado di fornire assistenza al Cliente (e, per i trasferimenti da un incaricato del trattamento a un subincaricato del trattamento, all'esportatore di dati).

Misura
Descrizione
Misurazioni per la protezione dei dati self-service
La pagina web della piattaforma di marketing digitale di NextRoll e delle richieste sulla privacy (https://nextroll-privacy.relyance.ai) consente al Cliente di accedere, correggere o eliminare i propri Dati personali per soddisfare qualsiasi richiesta di protezione dei dati da parte dei soggetti interessati.