Accordo sul Trattamento dei Dati

I termini utilizzati nel presente DPA hanno il significato attribuito loro dal GDPR (Regolamento (UE) 2016/679). In particolare:

• Dati Personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile.
• Titolare: il cliente che determina le finalità e i mezzi del trattamento.
• Responsabile: HummingDeck, che tratta Dati Personali per conto del Titolare.
• Sub-responsabile: qualsiasi terza parte incaricata da HummingDeck di trattare Dati Personali, elencata su hummingdeck.com/sub-processors.
• Interessato: la persona fisica a cui si riferiscono i Dati Personali, inclusi i dipendenti del Titolare, i contatti e i destinatari che visualizzano i documenti condivisi tramite HummingDeck ("Visualizzatori di Documenti").

HummingDeck agisce in qualità di Responsabile per conto del Titolare per tutti i Dati Personali trattati in relazione al servizio, inclusi:

• Titolari di account e membri del team che il Titolare aggiunge a un workspace.
• Contatti e lead che il Titolare importa o crea.
• Visualizzatori di Documenti che aprono link condivisi dal Titolare.
• Eventi di engagement generati dai Visualizzatori di Documenti (visualizzazioni di pagina, tempo sulla pagina, visite di ritorno, posizione a livello di paese, segnali derivati dall'IP).

Il Titolare resta responsabile della liceità del trattamento, della scelta della base giuridica ai sensi dell'Articolo 6 del GDPR e dei diritti degli Interessati.

Il Titolare dichiara e garantisce che:

• Dispone di una valida base giuridica ai sensi dell'Articolo 6 del GDPR per il trattamento che incarica HummingDeck di effettuare.
• Ha fornito tutte le informative richieste agli Interessati ai sensi degli Articoli 13 e 14 del GDPR, inclusa l'informazione ai Visualizzatori di Documenti riguardo al monitoraggio dell'engagement effettuato tramite i link HummingDeck. Il Titolare è l'unico responsabile di tale informativa, sia tramite la propria informativa sulla privacy, sia tramite l'email o il messaggio che accompagna il link di condivisione, sia tramite qualsiasi altro canale appropriato.
• Non incaricherà HummingDeck di trattare Dati Personali in violazione della normativa applicabile in materia di protezione dei dati.

Per supportare il Titolare nell'adempimento del proprio obbligo informativo, HummingDeck mette a disposizione quanto segue:

• Un'informativa pubblica sulla privacy disponibile su hummingdeck.com/privacy che descrive cosa viene raccolto dai Visualizzatori di Documenti e su quale base.
• Testo modello che il Titolare può adottare o adattare per la propria informativa sulla privacy, disponibile su richiesta.
• Un elenco pubblico dei sub-responsabili disponibile su hummingdeck.com/sub-processors.

In qualità di Responsabile, HummingDeck si impegna a:

• Trattare i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare, comprese quelle impartite tramite l'utilizzo del servizio stesso.
• Garantire che le persone autorizzate a trattare i Dati Personali siano vincolate da obblighi di riservatezza.
• Implementare adeguate misure tecniche e organizzative di sicurezza (Sezione 5).
• Avvalersi di sub-responsabili soltanto sulla base di contratti scritti che impongano obblighi equivalenti in materia di protezione dei dati e notificare al Titolare le modifiche previste secondo la Sezione 6.
• Assistere il Titolare, tenendo conto della natura del trattamento, nell'adempimento dei propri obblighi di risposta alle richieste degli Interessati ai sensi del Capo III del GDPR.
• Assistere il Titolare in materia di sicurezza, notifica delle violazioni, valutazioni d'impatto sulla protezione dei dati e consultazioni preventive ai sensi degli Articoli da 32 a 36 del GDPR.
• Notificare al Titolare senza ingiustificato ritardo (e, ove possibile, entro 72 ore) dopo essere venuti a conoscenza di una Violazione di Dati Personali che riguardi i dati del Titolare.
• A scelta del Titolare, cancellare o restituire tutti i Dati Personali al termine del servizio e cancellare le copie esistenti, salvo che la conservazione sia richiesta dalla legge.
• Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare la conformità al presente DPA e consentire audit o ispezioni da parte del Titolare o di un revisore da esso incaricato (fermo restando quanto previsto dalla Sezione 7).

HummingDeck implementa e mantiene adeguate misure tecniche e organizzative, tra cui:

• Crittografia dei Dati Personali in transito (TLS 1.2+) e a riposo (crittografia predefinita di Google Cloud Storage).
• Controlli di accesso basati sui principi del minimo privilegio, con registrazione degli accessi amministrativi.
• Autenticazione tramite Google Firebase con gestione sicura delle sessioni.
• Sistemi di rilevamento di bot e abusi per filtrare il traffico automatizzato dalle analisi dell'engagement.
• Procedure di backup e disaster recovery.
• Revisione periodica delle pratiche di sicurezza.

HummingDeck non è attualmente certificata SOC 2. I clienti che richiedono una certificazione formale possono contattare hello@hummingdeck.com per ottenere il questionario di sicurezza aggiornato e le tempistiche.

Il Titolare autorizza HummingDeck ad avvalersi dei sub-responsabili elencati su hummingdeck.com/sub-processors. HummingDeck fornirà al Titolare un preavviso di almeno 30 giorni prima di aggiungere o sostituire qualsiasi sub-responsabile che tratti Dati Personali del Titolare, mediante:

• L'aggiornamento dell'elenco pubblico dei sub-responsabili e
• La notifica via email al proprietario del workspace qualora la modifica incida in modo significativo sul trattamento.

Qualora il Titolare si opponga in buona fede a un nuovo sub-responsabile per motivi legati alla protezione dei dati entro 30 giorni dalla notifica, le parti collaboreranno in buona fede per affrontare la questione. In assenza di soluzione, il Titolare potrà recedere dalla porzione interessata del servizio per giusta causa.

HummingDeck metterà a disposizione, con ragionevole preavviso e non più di una volta ogni 12 mesi (o più di frequente se richiesto da un'autorità di controllo):

• Il proprio Registro delle Attività di Trattamento aggiornato (documentazione ai sensi dell'Articolo 30).
• Informazioni sulle proprie misure di sicurezza ed eventuali valutazioni di terze parti.
• La possibilità di un audit a distanza (basato su questionario o videoconferenza) a spese del Titolare.

Le ispezioni in loco sono consentite solo ove richieste dalla legge applicabile o da un ordine vincolante di un'autorità di controllo, con ragionevole preavviso e a spese del Titolare.

Il Titolare riconosce che alcuni sub-responsabili sono ubicati al di fuori dello Spazio Economico Europeo, principalmente negli Stati Uniti. Per tali trasferimenti, HummingDeck si avvale delle Clausole Contrattuali Standard della Commissione Europea (Modulo Due, da Titolare a Responsabile) integrate nei propri accordi con i sub-responsabili interessati, integrate dalle misure tecniche e organizzative descritte nella Sezione 5.

Alla cessazione del servizio, il Titolare può, entro 30 giorni, richiedere un'esportazione strutturata dei propri dati tramite l'applicazione o tramite il supporto. Trascorsi 30 giorni, HummingDeck cancellerà tutti i Dati Personali del Titolare dai sistemi di produzione entro ulteriori 30 giorni, salvo i casi in cui la conservazione sia prescritta dalla legge (ad esempio, registri di fatturazione). Le copie di backup sono conservate secondo i normali piani di rotazione dei backup e sovrascritte a tempo debito.

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità previste dal contratto sottostante tra le parti.

In caso di conflitto tra il presente DPA e il contratto sottostante (inclusi i Termini di Servizio di HummingDeck), prevale il presente DPA, limitatamente alla portata del conflitto e unicamente con riferimento al trattamento dei Dati Personali.

HummingDeck può aggiornare il presente DPA di tanto in tanto per riflettere modifiche della normativa applicabile o delle proprie pratiche di trattamento. Le modifiche sostanziali saranno comunicate al proprietario del workspace via email almeno 30 giorni prima della loro entrata in vigore. L'uso continuato del servizio dopo la data di efficacia costituisce accettazione.

Domande relative al presente DPA, richieste di una controparte firmata o richieste formali degli Interessati devono essere inviate a hello@hummingdeck.com.