{"id":3865,"date":"2025-08-14T14:23:55","date_gmt":"2025-08-14T11:23:55","guid":{"rendered":"https:\/\/meferi.pontima.ru\/?page_id=3865"},"modified":"2025-11-01T11:49:20","modified_gmt":"2025-11-01T10:49:20","slug":"data-processing-agreement","status":"publish","type":"page","link":"https:\/\/meferi.com\/it\/support-services\/legal-center\/data-processing-agreement\/","title":{"rendered":"Contratto di elaborazione dei dati"},"content":{"rendered":"
<\/div><\/div><\/div>
\r\n\t
\r\n\t\t
\r\n\t\t\t

Contratto di elaborazione dei dati<\/span><\/h1>\n
Il presente Contratto di elaborazione dati ("DPA") \u00e8 stipulato tra:<\/div>\n
\n
\n


(1) MEFERI Technologies Co., Ltd., una societ\u00e0 costituita secondo le leggi della Cina, con sede legale in 5F, A5, Tianfu Software Park, n. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, Repubblica Popolare Cinese ("MEFERI", "Elaboratore", "Noi", "Ci" o "Nostro"); e

(2) Il Cliente ("Cliente", "Titolare del trattamento" o "Tu"), l'entit\u00e0 giuridica che ha sottoscritto o utilizza i Servizi di MEFERI come definiti di seguito e ha accettato i termini principali del servizio di MEFERI o un altro accordo quadro ("Accordo principale").

Il presente DPA costituisce parte integrante del Contratto principale e riflette l'accordo delle parti in merito al trattamento dei dati personali da parte di MEFERI per conto del Cliente in relazione ai Servizi.

Accettando il Contratto principale o accedendo o utilizzando i Servizi dopo che il presente DPA \u00e8 stato reso disponibile, il Cliente stipula il presente DPA per conto proprio e, nella misura richiesta dalla Legge applicabile sulla protezione dei dati, in nome e per conto dei suoi Utenti autorizzati.

In caso di conflitto tra il presente DPA e l'Accordo principale, il presente DPA prevarr\u00e0 nella misura in cui sussista tale conflitto in relazione al trattamento dei dati personali.

1. DEFINIZIONI

1.1. Per "Contratto Principale" si intende il contratto scritto principale (che pu\u00f2 essere denominato Termini di Servizio, Condizioni Generali di Servizio, Contratto Quadro di Servizi, Contratto di Servizio, Contratto di Abbonamento o simili) stipulato tra il Cliente e MEFERI (o un Affiliato Contraente di MEFERI ai sensi della Sezione 18.4) per la fornitura dei Servizi, inclusi eventuali termini specifici del piano di servizio (ad esempio "MeCare (Nome del Piano): Condizioni Generali di Servizio") e qualsiasi modulo d'ordine o dichiarazione di lavoro eseguito ai sensi degli stessi. Il presente DPA costituisce parte integrante di tale Contratto Principale.

1.2. Per \u201cLegge applicabile sulla protezione dei dati\u201d si intendono tutte le leggi e i regolamenti applicabili al trattamento dei dati personali ai sensi del presente DPA, inclusi, a titolo esemplificativo ma non esaustivo, il GDPR e tutte le leggi, i regolamenti e la legislazione secondaria nazionali di attuazione, come modificati o aggiornati di volta in volta.

1.3. \u201cTitolare del trattamento\u201d ha il significato di cui all'articolo 4(7) del GDPR. Ai fini del presente DPA, il Cliente \u00e8 il Titolare del trattamento.

1.4. \u201cInteressato\u201d ha il significato stabilito nell\u2019articolo 4(1) del GDPR.

1.5. \u201cGDPR\u201d significa Regolamento (UE) 2016\/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch\u00e9 alla libera circolazione di tali dati e che abroga la direttiva 95\/46\/CE (Regolamento generale sulla protezione dei dati).

1.6. \u201cDati personali\u201d ha il significato stabilito nell\u2019articolo 4(1) del GDPR ed \u00e8 limitato ai dati personali elaborati da MEFERI per conto del Cliente nella fornitura dei Servizi come ulteriormente descritto nell\u2019Appendice 1.

1.7. \u201cViolazione dei dati personali\u201d ha il significato stabilito nell\u2019articolo 4(12) del GDPR, in particolare una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l\u2019alterazione, la divulgazione non autorizzata o l\u2019accesso ai dati personali del cliente trasmessi, archiviati o altrimenti elaborati da MEFERI.

1.8. \u201cTrattamento\u201d ha il significato stabilito nell\u2019articolo 4(2) del GDPR. \u201cTrattare\u201d e \u201cTrattato\u201d devono essere interpretati di conseguenza.

1.9. Per \u201cResponsabile del trattamento\u201d si intende MEFERI Technologies Co., Ltd., (MEFERI) o, ove applicabile ai sensi della Sezione 18.4 del presente DPA, la parte affiliata contraente MEFERI del Contratto principale con il Cliente.

1.10. Per "Servizi" si intendono i prodotti e i servizi forniti da MEFERI al Cliente ai sensi del Contratto Principale, inclusi specificamente, a titolo esemplificativo ma non esaustivo, la soluzione Shadowalk MDM\/EMM Cloud di MEFERI, i componenti ospitati nel cloud della soluzione ISA (Intelligent Shopper Assistant) di CIAO in cui MEFERI agisce come responsabile del trattamento, e qualsiasi servizio di supporto associato (inclusi, a titolo esemplificativo ma non esaustivo, i servizi forniti nell'ambito di un contratto di servizio MeCare di MEFERI) in cui MEFERI elabora i Dati Personali del Cliente. Per chiarezza, i Servizi non includono le distribuzioni on-premise del software MEFERI in cui l'elaborazione continua dei Dati Personali viene eseguita esclusivamente all'interno dell'ambiente del Cliente, salvo nei casi in cui MEFERI acceda a tali sistemi per il supporto su istruzione del Cliente.

1.11. Per \u201cSub-responsabile del trattamento\u201d si intende qualsiasi terza parte incaricata da MEFERI di elaborare i dati personali per conto del Cliente in relazione ai Servizi.

1.12. Per \u201cMisure tecniche e organizzative\u201d o \u201cTOM\u201d si intendono le misure di sicurezza implementate da MEFERI per proteggere i Dati personali, come ulteriormente descritto nell\u2019Appendice 2.

1.13. "Soluzioni di partner di terze parti" indica software o servizi forniti da terze parti che possono essere integrati o utilizzati insieme all'hardware o ai Servizi di MEFERI, come soluzioni di pagamento (ad esempio, WorldLine "Tap on Mobile") o software di auto-scansione al dettaglio (ad esempio, 4MAX "Scan & Go"), laddove il Cliente pu\u00f2 avere un rapporto contrattuale diretto con tale terza parte.

2. RUOLI E RESPONSABILIT\u00c0

2.1. Ruoli delle parti: il Cliente \u00e8 il Titolare del trattamento e MEFERI \u00e8 il Responsabile del trattamento dei dati personali del Cliente. Ciascuna parte si impegna a rispettare i rispettivi obblighi ai sensi della Legge applicabile in materia di protezione dei dati.

2.2. Obblighi del Cliente in qualit\u00e0 di Titolare del trattamento: il Cliente dichiara e garantisce che:

a. Ha rispettato e continuer\u00e0 a rispettare tutte le disposizioni applicabili della Legge sulla protezione dei dati applicabile in relazione al trattamento dei dati personali e a tutte le istruzioni di trattamento impartite a MEFERI;

b. Ha la responsabilit\u00e0 esclusiva dell'accuratezza, della qualit\u00e0 e della legalit\u00e0 dei Dati Personali e dei mezzi con cui ha acquisito i Dati Personali, incluso l'ottenimento di tutti i consensi necessari, la fornitura di tutte le notifiche necessarie e l'avere una valida base giuridica per il Trattamento dei Dati Personali da parte di MEFERI in conformit\u00e0 con il presente DPA e l'Accordo Principale; e

c. Le istruzioni impartite a MEFERI per il trattamento dei dati personali dovranno essere conformi alla normativa vigente in materia di protezione dei dati.

2.3. Obblighi di MEFERI in qualit\u00e0 di Responsabile del trattamento: MEFERI dovr\u00e0:

a. Trattare i Dati Personali solo su istruzioni documentate del Cliente, anche per quanto riguarda i trasferimenti di Dati Personali verso un paese terzo o un'organizzazione internazionale, a meno che non sia richiesto dalla legge dell'Unione o di uno Stato membro a cui MEFERI \u00e8 soggetta; in tal caso, MEFERI informer\u00e0 il Cliente di tale obbligo legale prima del Trattamento, a meno che tale legge non vieti tali informazioni per importanti motivi di interesse pubblico (Articolo 28(3)(a) GDPR). Il Contratto Principale e il presente DPA costituiscono le istruzioni documentate del Cliente a MEFERI per il Trattamento dei Dati Personali.

b. Informare immediatamente il Cliente se, a giudizio di MEFERI, un'istruzione viola la normativa applicabile in materia di protezione dei dati (articolo 28(3) GDPR).

3. DETTAGLI DEL TRATTAMENTO

3.1. L'oggetto del Trattamento, la durata del Trattamento, la natura e la finalit\u00e0 del Trattamento, i tipi di Dati Personali e le categorie di Interessati sono indicati nell'Appendice 1 (Dettagli del Trattamento) del presente DPA.

4. RISERVATEZZA

4.1. MEFERI deve garantire che il proprio personale autorizzato al trattamento dei dati personali si sia impegnato alla riservatezza o sia soggetto a un adeguato obbligo legale di riservatezza (articolo 28(3)(b) GDPR).

5. SICUREZZA DEL TRATTAMENTO

5.1. Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalit\u00e0 del trattamento, nonch\u00e9 del rischio di varia probabilit\u00e0 e gravit\u00e0 per i diritti e le libert\u00e0 delle persone fisiche, MEFERI attua e mantiene misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, come descritto nell'Appendice 2 (Misure tecniche e organizzative) (articolo 28(3)(c) e articolo 32 GDPR).

5.2. MEFERI pu\u00f2 aggiornare o modificare i TOM di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un degrado sostanziale della sicurezza complessiva dei Servizi.

6. SUB-LAVORAZIONE

6.1. Autorizzazione generale: il Cliente concede a MEFERI un'autorizzazione scritta generale per incaricare i Sub-responsabili del trattamento dei Dati personali per conto del Cliente in relazione alla fornitura dei Servizi (Articolo 28(2) GDPR).

6.2. Sub-responsabili attuali e notifica di nuovi sub-responsabili: MEFERI dovr\u00e0 mantenere un elenco dei suoi attuali sub-responsabili, che dovr\u00e0 essere reso disponibile al Cliente su richiesta o tramite una pagina web designata (vedere Appendice 3). MEFERI dovr\u00e0 informare il Cliente di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri sub-responsabili con almeno trenta (30) giorni di calendario di anticipo, dando cos\u00ec al Cliente la possibilit\u00e0 di opporsi a tali modifiche.

6.3. Opposizione ai nuovi sub-responsabili: qualora il Cliente abbia una base ragionevole per opporsi all'utilizzo da parte di MEFERI di un nuovo sub-responsabile, dovr\u00e0 darne comunicazione scritta a MEFERI tempestivamente entro dieci (10) giorni lavorativi dal ricevimento della comunicazione di MEFERI. In caso di opposizione da parte del Cliente, MEFERI compir\u00e0 ogni ragionevole sforzo per rendere disponibile al Cliente una modifica ai Servizi o raccomandare una modifica commercialmente ragionevole alla configurazione o all'utilizzo dei Servizi da parte del Cliente, al fine di evitare il Trattamento dei Dati Personali da parte del nuovo sub-responsabile contestato, senza gravare irragionevolmente sul Cliente. Qualora MEFERI non sia in grado di rendere disponibile tale modifica entro un periodo di tempo ragionevole, che non superi i trenta (30) giorni di calendario, il Cliente potr\u00e0 recedere dalla parte applicabile dei Servizi che non pu\u00f2 essere fornita da MEFERI senza l'utilizzo del nuovo sub-responsabile contestato, inviando comunicazione scritta a MEFERI.

6.4. Obblighi del sub-responsabile: MEFERI deve garantire che qualsiasi sub-responsabile da lui incaricato sia soggetto a un contratto scritto o altro atto giuridico ai sensi del diritto dell'Unione o degli Stati membri che imponga obblighi di protezione dei dati almeno equivalenti a quelli imposti a MEFERI ai sensi del presente DPA, in particolare fornendo garanzie sufficienti per implementare misure tecniche e organizzative appropriate in modo tale che il trattamento soddisfi i requisiti della normativa applicabile in materia di protezione dei dati (articolo 28(4) GDPR).

6.5. Responsabilit\u00e0: MEFERI rimarr\u00e0 pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi di protezione dei dati dei suoi Sub-responsabili.

7. DIRITTI DELL'INTERESSATO

7.1. Tenendo conto della natura del Trattamento, MEFERI assister\u00e0 il Cliente implementando misure tecniche e organizzative appropriate, nella misura in cui ci\u00f2 sia possibile, per l'adempimento dell'obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell'Interessato stabiliti nel Capo III del GDPR (ad esempio, diritto di accesso, rettifica, cancellazione, ecc.) (Articolo 28(3)(e) GDPR).

7.2. Qualora MEFERI riceva una richiesta direttamente da un Interessato relativa ai Dati Personali del Cliente, MEFERI dovr\u00e0 tempestivamente informare il Cliente di tale richiesta e non dovr\u00e0 rispondere all'Interessato, salvo per confermare che la richiesta riguarda il Cliente. Il Cliente sar\u00e0 responsabile di rispondere a tutte le richieste dell'Interessato.

8. ASSISTENZA AL TITOLARE DEL TRATTAMENTO

8.1. Tenendo conto della natura del Trattamento e delle informazioni a disposizione di MEFERI, MEFERI fornir\u00e0 ragionevole assistenza al Cliente per garantire il rispetto dei propri obblighi ai sensi degli Articoli da 32 a 36 del GDPR (Sicurezza del Trattamento, Notifica della Violazione dei Dati Personali all'autorit\u00e0 di controllo, Comunicazione di una Violazione dei Dati Personali all'Interessato, Valutazione d'Impatto sulla Protezione dei Dati e Previa consultazione dell'autorit\u00e0 di controllo) (Articolo 28(3)(f) GDPR).

9. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI

9.1. Notifica al cliente:

MEFERI dovr\u00e0 informare il Cliente senza indebito ritardo e, in ogni caso, entro quarantotto (48) ore, dopo essere venuto a conoscenza di una violazione dei dati personali che riguarda i dati personali del Cliente (articolo 28(3)(f) e articolo 33(2) GDPR).

9.2. Tale notifica dovr\u00e0, nella misura del possibile, descrivere:

a. La natura della violazione dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo di soggetti interessati e le categorie e il numero approssimativo di record di dati personali interessati;

b. Il nome e i recapiti del responsabile della protezione dei dati di MEFERI o di altro punto di contatto presso il quale \u00e8 possibile ottenere maggiori informazioni;

c. Le probabili conseguenze della violazione dei dati personali; e

d. Le misure adottate o proposte da MEFERI per affrontare la violazione dei dati personali, comprese, ove opportuno, misure per mitigarne i possibili effetti negativi.

9.3. Qualora e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, le informazioni possono essere fornite in pi\u00f9 fasi senza ulteriore indebito ritardo.

9.4. Il Cliente \u00e8 l'unico responsabile del rispetto dei propri obblighi di notifica di violazione dei dati ai sensi della Legge applicabile in materia di protezione dei dati. La notifica o la risposta di MEFERI a una violazione dei dati personali ai sensi della presente Sezione 9 non sar\u00e0 interpretata come un riconoscimento da parte di MEFERI di alcuna colpa o responsabilit\u00e0 in relazione alla violazione dei dati personali.

10. CANCELLAZIONE O RESTITUZIONE DEI DATI

10.1. A scelta del Cliente, MEFERI canceller\u00e0 o restituir\u00e0 tutti i Dati Personali al Cliente al termine della fornitura dei Servizi relativi al Trattamento, e canceller\u00e0 le copie esistenti, a meno che la legge dell'Unione o di uno Stato membro non richieda la conservazione dei Dati Personali (articolo 28(3)(g) GDPR). Le tempistiche specifiche di conservazione e cancellazione saranno quelle stabilite nel Contratto Principale o come altrimenti concordato.

11. VERIFICHE E ISPEZIONI

11.1. MEFERI metter\u00e0 a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformit\u00e0 agli obblighi previsti dall'articolo 28 del GDPR e consentir\u00e0 e contribuir\u00e0 agli audit, comprese le ispezioni, condotti dal Cliente o da un altro revisore incaricato dal Cliente (articolo 28(3)(h) GDPR).

11.2. Tali audit dovranno essere condotti durante il normale orario lavorativo di MEFERI, previo ragionevole preavviso scritto di almeno trenta (30) giorni di calendario, e non dovranno interferire in modo irragionevole con le attivit\u00e0 commerciali di MEFERI. Il Cliente e MEFERI concorderanno reciprocamente l'ambito, i tempi e la durata dell'audit.

11.3. Il Cliente dovr\u00e0 garantire che ogni revisore agisca in base a un accordo di riservatezza scritto. Il Cliente sosterr\u00e0 i propri costi e quelli del revisore incaricato. Qualora l'audit riveli una violazione sostanziale del presente DPA da parte di MEFERI, MEFERI sosterr\u00e0 i costi ragionevoli dell'audit, fino a un massimale concordato di comune accordo.

11.4. Nella misura consentita dalla legge, MEFERI pu\u00f2 soddisfare i propri obblighi di audit fornendo al Cliente le certificazioni pertinenti rilasciate da un revisore indipendente di terze parti (ad esempio, ISO 27001, SOC 2 Tipo II) o riassunti delle stesse, nel rispetto degli obblighi di riservatezza appropriati.

12. TRASFERIMENTI INTERNAZIONALI DI DATI

12.1. MEFERI non trasferir\u00e0 i Dati Personali a nessun Paese al di fuori dello Spazio Economico Europeo (SEE) o a un Paese ritenuto adeguato dalla Commissione Europea ai sensi dell'Articolo 45 del GDPR senza garantire che siano in atto le opportune misure di salvaguardia richieste dal Capitolo V del GDPR (ad esempio, stipulando Clausole Contrattuali Standard approvate dalla Commissione Europea).

12.2. Le sedi principali di elaborazione dei dati per i Servizi, in particolare quelle in cui i Dati Personali del Cliente sono ospitati da MEFERI sulla sua infrastruttura cloud principale, saranno all'interno dello Spazio Economico Europeo (SEE), utilizzando la regione eu-west-3 di Amazon Web Services (AWS) (Parigi, Francia). Ulteriori dettagli sui sub-responsabili del trattamento, inclusi i fornitori di infrastrutture cloud e le loro sedi, sono forniti nell'Appendice 3.

12.3 Qualora MEFERI effettui un trasferimento di Dati Personali a un Sub-responsabile in un Paese terzo (vale a dire, al di fuori del SEE o in un Paese non ritenuto adeguato dalla Commissione Europea) che non garantisce un livello di protezione adeguato, MEFERI dovr\u00e0 garantire che tale trasferimento sia coperto da un meccanismo di trasferimento appropriato ai sensi del Capitolo V del GDPR, come le Clausole Contrattuali Tipo. Ci\u00f2 include i trasferimenti che possono verificarsi qualora MEFERI utilizzi servizi di un Sub-responsabile la cui infrastruttura o il cui personale di supporto si trovino in tali Paesi terzi, anche se il luogo di trattamento primario specificato al punto 12.2 si trova all'interno del SEE.

13. UTILIZZO DI SOLUZIONI DI PARTNER DI TERZE PARTI DA PARTE DI MEFERI

13.1. Il Cliente riconosce che l'hardware o i Servizi di MEFERI possono essere utilizzati insieme a Soluzioni di Partner di terze parti (ad esempio, soluzioni di elaborazione dei pagamenti su dispositivi CIAO, software specifici per la gestione della vendita al dettaglio).

13.2. Qualora il Cliente scelga di utilizzare tali Soluzioni di Partner Terzi, potr\u00e0 stipulare un rapporto contrattuale diretto con i fornitori di tali soluzioni. In tali casi, il fornitore terzo potr\u00e0 agire in qualit\u00e0 di Titolare o Responsabile del Trattamento dei Dati Personali che gestisce in relazione ai propri servizi, come stabilito dal contratto stipulato tra il Cliente e tale fornitore terzo.

13.3. Il presente DPA disciplina esclusivamente il Trattamento dei Dati Personali da parte di MEFERI in qualit\u00e0 di Responsabile del Trattamento per il Cliente. Non si applica alle attivit\u00e0 di Trattamento condotte da fornitori di Soluzioni di Partner Terzi con cui il Cliente ha un rapporto diretto, a meno che tale fornitore non agisca in qualit\u00e0 di Sub-Responsabile del Trattamento per MEFERI ai sensi della Sezione 6 del presente DPA.

14. RESPONSABILIT\u00c0 E INDENNIT\u00c0

14.1. La responsabilit\u00e0 di ciascuna parte ai sensi del presente DPA sar\u00e0 soggetta alle limitazioni ed esclusioni di responsabilit\u00e0 stabilite nell'Accordo principale.

14.2. Il Cliente dovr\u00e0 indennizzare e tenere indenne MEFERI da tutte le richieste, azioni, rivendicazioni di terzi, perdite, danni e spese (incluse le ragionevoli spese legali) sostenute da MEFERI derivanti da qualsiasi violazione da parte del Cliente dei propri obblighi ai sensi del presente DPA o della Legge applicabile sulla protezione dei dati.

15. DURATA E RISOLUZIONE

15.1. Il presente DPA entrer\u00e0 in vigore alla data di entrata in vigore del Contratto principale e rimarr\u00e0 in vigore fino alla risoluzione o alla scadenza del Contratto principale, oppure fino a quando MEFERI non cesser\u00e0 di elaborare i Dati personali per conto del Cliente, a seconda di quale evento si verifichi per ultimo.

15.2. Gli obblighi di riservatezza, cancellazione\/restituzione dei dati e qualsiasi disposizione che per loro natura debba sopravvivere alla risoluzione, sopravvivranno alla risoluzione o alla scadenza del presente DPA.

16. MODIFICHE AL PRESENTE DPA

16.1. MEFERI pu\u00f2 modificare il presente DPA di volta in volta pubblicando la versione modificata sul proprio sito web o altrimenti dandone comunicazione al Cliente.

16.2. Qualora MEFERI apporti una modifica sostanziale al presente DPA, MEFERI fornir\u00e0 al Cliente un preavviso ragionevole della modifica (ad esempio, tramite e-mail al contatto designato dal Cliente o tramite una notifica all'interno dei Servizi). L'utilizzo continuato dei Servizi da parte del Cliente dopo tale periodo di preavviso costituir\u00e0 accettazione del DPA modificato. Qualora il Cliente si opponga a una modifica sostanziale, potr\u00e0 recedere dal Contratto Principale in conformit\u00e0 con i termini dello stesso.

17. LEGGE APPLICABILE E RISOLUZIONE DELLE CONTROVERSIE

17.1. Legge applicabile: il presente DPA sar\u00e0 regolato e interpretato in conformit\u00e0 con le leggi stabilite come legge applicabile nel Contratto principale stipulato tra il Cliente e l'entit\u00e0 MEFERI parte di tale Contratto principale ("Entit\u00e0 contraente MEFERI").

17.2. Risoluzione delle controversie:

a. Le Parti si impegneranno a risolvere qualsiasi controversia, disputa o reclamo derivante da o relativo al presente DPA, alla sua interpretazione, validit\u00e0, violazione o risoluzione ("Controversia") in via amichevole attraverso negoziati in buona fede tra i rispettivi rappresentanti autorizzati. b. Se una Controversia non pu\u00f2 essere risolta tramite negoziazione entro trenta (30) giorni di calendario dalla notifica scritta di una Parte che avvia le negoziazioni, tale Controversia sar\u00e0 risolta in conformit\u00e0 con il meccanismo di risoluzione delle controversie (ad esempio, arbitrato o procedimento giudiziario) e la sede come specificato nell'Accordo Principale. c. Nel caso in cui l'Accordo Principale preveda l'arbitrato:

i. Tale arbitrato costituir\u00e0 il meccanismo principale per la risoluzione delle controversie ai sensi del presente DPA. ii. Salvo quanto diversamente specificato nell'Accordo principale, o qualora l'Accordo principale non specifichi i dettagli dell'arbitrato per questioni relative al presente DPA, le Parti concordano che qualsiasi controversia di questo tipo possa essere sottoposta ad arbitrato amministrato da un'istituzione arbitrale riconosciuta a livello internazionale concordata (come la Corte di arbitrato internazionale di Shenzhen (SCIA), il Centro di arbitrato internazionale di Singapore (SIAC) o il Centro di arbitrato internazionale di Hong Kong (HKIAC), o un'istituzione appropriata all'interno dell'Unione europea se l'Entit\u00e0 contraente MEFERI \u00e8 una filiale con sede nell'UE). iii. L'arbitrato si svolger\u00e0 in inglese. La sede o il luogo legale dell'arbitrato sar\u00e0 quello specificato nell'Accordo principale o, se non specificato o se viene concordata una sede diversa per una specifica controversia, una sede scelta di comune accordo dalle Parti o, in mancanza di tale accordo entro un termine ragionevole, dall'Entit\u00e0 contraente MEFERI. iv. Il lodo arbitrale sar\u00e0 definitivo e vincolante per entrambe le Parti, fatti salvi i diritti di ricorso consentiti dalle leggi della sede dell'arbitrato per ingiustizia procedurale o mancanza di giurisdizione.

d. Se l'Accordo principale specifica un contenzioso giudiziario, i tribunali ivi specificati avranno giurisdizione, fatto salvo quanto previsto dalla Sezione 17.3 di seguito.

17.3. Considerazioni obbligatorie sulla legge sulla protezione dei dati: a. Nonostante qualsiasi altra disposizione del presente DPA o dell'Accordo principale, laddove la legge applicabile sulla protezione dei dati (incluso, a titolo esemplificativo ma non esaustivo, il GDPR) conceda a un interessato il diritto obbligatorio di adire i tribunali della propria residenza abituale o del luogo di lavoro, o del luogo in cui si \u00e8 verificata una presunta violazione, o di presentare un reclamo a un'autorit\u00e0 di controllo, tali diritti non saranno pregiudicati dai termini del presente DPA. b. Laddove si applichi il GDPR, MEFERI e il Cliente garantiranno che qualsiasi scelta di legge o giurisdizione applicabile non impedisca agli interessati di beneficiare di eventuali disposizioni obbligatorie della legge dello Stato membro dell'Unione Europea in cui risiedono.

17.4. Esecuzione continua: in attesa della risoluzione di una controversia, le parti continueranno ad adempiere ai rispettivi obblighi ai sensi del presente DPA nella misura in cui ci\u00f2 sia possibile, a meno che il DPA o l'accordo principale non vengano risolti.

18. INFORMAZIONI DI CONTATTO \/ PROTEZIONE DEI DATI

18.1. Responsabile del trattamento: MEFERI Technologies Co., Ltd. Indirizzo: 5F, A5, Tianfu Software Park, n. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, Repubblica Popolare Cinese

\u2013 Email per richieste sulla protezione dei dati: legal@meferi.com<\/a>

18.2. Richieste di informazioni sulla protezione dei dati e DPO (per MEFERI Technologies Co., Ltd.): tutte le richieste relative alla protezione dei dati ai sensi del presente DPA devono essere indirizzate all'indirizzo e-mail specificato per MEFERI Technologies Co., Ltd. nella Sezione 18.1 di cui sopra.

18.3. Rappresentante UE per MEFERI Technologies Co., Ltd. (ai sensi dell'articolo 27 GDPR): Nome del rappresentante UE: MEFERI Poland Sp. z oo Indirizzo: Ul. Modelarska 18\/2, 40-142 Katowice, Polonia E-mail per richieste di informazioni sulla protezione dei dati UE (per gli interessati e le autorit\u00e0 di controllo nell'UE in merito al trattamento da parte di MEFERI Technologies Co., Ltd.): poland@meferi.com<\/a>

18.4. Elaborazione da parte di affiliate MEFERI: qualora il Cliente stipuli un Contratto principale con un'affiliata di MEFERI Technologies Co., Ltd. (ad esempio, MEFERI Poland Sp. z oo) ("Affiliata MEFERI contraente") e tale Affiliata MEFERI contraente agisca in qualit\u00e0 di Responsabile del trattamento dei dati personali ai sensi di tale Contratto principale:

a) Il presente DPA si applica alle attivit\u00e0 di trattamento svolte dall'Affiliato contraente MEFERI e tutti i riferimenti a "MEFERI" o "Responsabile del trattamento" nel presente documento si intendono riferiti a tale Affiliato contraente MEFERI.

b) Le informazioni di contatto per le richieste di protezione dei dati relative al trattamento da parte di tale Affiliata Contraente MEFERI saranno quelle specificate nel Contratto Principale o come altrimenti comunicato dall'Affiliata Contraente MEFERI al Cliente. Per MEFERI Poland Sp. z oo, i dati di contatto sono: Indirizzo: Ul. Modelarska 18\/2, 40-142 Katowice, Polonia

E-mail: poland@meferi.com<\/a>

Telefono: +48 734-143-579

c) La legge applicabile e la risoluzione delle controversie per il presente DPA in tali casi saranno determinate dall'Accordo principale con l'Affiliato contraente MEFERI.

19. INTERO ACCORDOMENT

19.1. Il presente DPA, comprese le sue Appendici, costituisce l'intero accordo tra le parti in merito all'oggetto del presente documento e sostituisce tutti gli accordi, le proposte o le dichiarazioni precedenti e contemporanei, scritti o orali, riguardanti l'oggetto del medesimo.

IN FEDE DI CI\u00d2, le parti riconoscono il loro consenso al presente Contratto di elaborazione dati a partire dalla Data di entrata in vigore del Contratto principale o dall'utilizzo dei Servizi da parte del Cliente.

\u2014

APPENDICE 1<\/strong>

DETTAGLI DEL TRATTAMENTO

La presente Appendice 1 costituisce parte integrante del DPA e descrive il trattamento dei dati personali da parte di MEFERI per conto del Cliente.

A. ELENCO DELLE PARTI

Titolare\/i del trattamento\/cliente\/i:

La persona giuridica che ha stipulato il Contratto Principale con MEFERI per la fornitura dei Servizi. Il Cliente determina le finalit\u00e0 e le modalit\u00e0 del Trattamento dei Dati Personali.

Processore\/i \/ MEFERI:

MEFERI Technologies Co., Ltd., o, ove applicabile ai sensi della Sezione 18.4 del presente DPA, la parte affiliata contraente MEFERI del Contratto principale con il Cliente, che fornisce i Servizi al Cliente.

B. DESCRIZIONE DEL TRATTAMENTO

1. Oggetto del trattamento:

Il trattamento dei dati personali nel contesto della fornitura, manutenzione, supporto e miglioramento dei servizi MEFERI sottoscritti dal cliente ai sensi del contratto principale, inclusi, a titolo esemplificativo ma non esaustivo, la soluzione cloud MEFERI Shadowalk MDM\/EMM e i componenti ospitati nel cloud della soluzione CIAO Intelligent Shopper Assistant (ISA).

2. Durata del Trattamento:

Per la durata del Contratto principale tra MEFERI e il Cliente e fino a quando tutti i Dati personali non saranno cancellati o restituiti in conformit\u00e0 con la Sezione 10 del DPA.

3. Natura e finalit\u00e0 del trattamento:

\u2013 Per la soluzione cloud MEFERI Shadowalk MDM\/EMM: consentire al Cliente di gestire, proteggere, monitorare e supportare da remoto la propria flotta di dispositivi mobili. Ci\u00f2 include il provisioning dei dispositivi, la gestione della configurazione, la gestione delle applicazioni, l'applicazione delle policy di sicurezza, il monitoraggio dei dispositivi (se abilitato dal Cliente), la diagnostica remota e la generazione di report sullo stato e l'utilizzo dei dispositivi per il Cliente.

\u2013 Per i componenti ISA Cloud MEFERI CIAO (dove MEFERI \u00e8 il Responsabile del Trattamento): per facilitare il funzionamento della soluzione di assistenza clienti intelligente per il Cliente (rivenditore). Ci\u00f2 pu\u00f2 includere l'autenticazione dell'utente, la gestione delle liste della spesa, l'elaborazione delle informazioni sui prodotti, i dati di interazione con il cliente (per analisi fornite al rivenditore) e l'abilitazione delle integrazioni con servizi di terze parti secondo le indicazioni del Cliente.

\u2013 Contratti di servizio MeCare: per i servizi MeCare MEFERI (in cui MEFERI agisce come Responsabile del trattamento): per fornire servizi di supporto, manutenzione, riparazione, monitoraggio e gestione dei dispositivi contrattuali come descritto nelle \u201cCondizioni generali di servizio MeCare (Nome del piano)\u201d applicabili e nella Guida ai servizi di supporto MeCare, che possono comportare l'accesso, la raccolta o altrimenti l'elaborazione dei dati personali archiviati o trasmessi dai dispositivi del cliente o forniti dal cliente nel corso della fornitura del servizio.

\u2013 Per i Servizi di supporto: per fornire supporto tecnico, risoluzione dei problemi, manutenzione e aggiornamenti per i Servizi, che potrebbero comportare l'accesso ai Dati personali elaborati all'interno dei Servizi o sui sistemi del Cliente su richiesta e istruzione del Cliente.

\u2013 Per rispettare le istruzioni documentate del Cliente come stabilito nel presente DPA e nell'Accordo principale.

\u2013 Per ottemperare agli obblighi di legge applicabili.

4. Categorie di interessati:

\u2013 Dipendenti, appaltatori e utenti autorizzati del Cliente: individui che amministrano o utilizzano i Servizi per conto del Cliente (ad esempio, amministratori IT che utilizzano Shadowalk, personale di vendita al dettaglio che gestisce o utilizza CIAO).

\u2013 Utenti finali dei dispositivi gestiti dal Cliente (per Shadowalk): individui (ad esempio, dipendenti del Cliente) che utilizzano computer mobili o altri dispositivi gestiti dal Cliente tramite la soluzione Shadowalk.

\u2013 Clienti del cliente (acquirenti) (per CIAO, se MEFERI elabora i loro dati personali in un backend cloud per conto del cliente rivenditore): individui che utilizzano i dispositivi ISA CIAO nel negozio del rivenditore.

5. Tipi di dati personali trattati:

Le tipologie specifiche di Dati Personali Trattati dipenderanno dai Servizi utilizzati dal Cliente e da come il Cliente configura e utilizza tali Servizi. I Dati Personali possono includere:

\u2013 Account utente e informazioni di contatto: nome, indirizzo e-mail, nome utente, password, numero di telefono, titolo professionale, reparto, ID dipendente, ruolo\/autorizzazioni all'interno dei Servizi (se applicabile per l'amministrazione del servizio da parte del Cliente).

\u2013 Informazioni sul dispositivo (per Shadowalk): identificatori del dispositivo (ad esempio, numero di serie, IMEI, indirizzo MAC, UDID), modello del dispositivo, versione del sistema operativo, indirizzo IP, informazioni di rete, impostazioni di configurazione del dispositivo, applicazioni installate, dati sulla posizione del dispositivo (se abilitati dal Cliente).

\u2013 Dati di utilizzo e di registro (per Shadowalk e CIAO cloud): registri di sistema, tracce di controllo, registri delle attivit\u00e0, dati sulle prestazioni, dati diagnostici relativi all'utilizzo dei Servizi.

\u2013 Dati dell'acquirente (per CIAO, se applicabile): dettagli dell'account dell'acquirente (ad esempio, ID fedelt\u00e0, e-mail se fornita dall'acquirente per la registrazione tramite l'app del rivenditore su CIAO), liste della spesa, cronologia delle scansioni dei prodotti, dati di interazione con il dispositivo CIAO.

\u2013 Dati di supporto: informazioni fornite dal Cliente durante le interazioni di supporto, inclusi i dettagli di contatto, la descrizione dei problemi, i dettagli di configurazione del sistema e tutti i Dati personali contenuti nei registri o nei file condivisi con MEFERI per la risoluzione dei problemi.

\u2013 Qualsiasi altro dato personale che il Cliente (o i suoi utenti autorizzati o soggetti interessati) sceglie di inviare ai Servizi.

6. Categorie particolari di dati personali (se presenti):

MEFERI non intende trattare alcuna Categoria Speciale di Dati Personali (come definita nell'Articolo 9 del GDPR) per conto del Cliente. Il Cliente non dovr\u00e0 caricare, fornire o incaricare MEFERI di trattare alcuna Categoria Speciale di Dati Personali, salvo esplicito accordo scritto con MEFERI e soggetto a garanzie adeguate. Qualora il Cliente fornisca tali dati senza previo consenso, sar\u00e0 il solo responsabile di garantire una valida base giuridica per tale Trattamento.

\u2014

APPENDICE 2<\/strong>

SICUREZZA TECNICA E ORGANIZZATIVA MEASURES (TOMS)

La presente Appendice 2 descrive le Misure Tecniche e Organizzative implementate da MEFERI per garantire un livello di sicurezza adeguato per il Trattamento dei Dati Personali. MEFERI pu\u00f2 aggiornare periodicamente tali misure, a condizione che tali aggiornamenti non compromettano materialmente la sicurezza complessiva dei Servizi.

1. Politiche e governance della sicurezza delle informazioni:

a. MEFERI mantiene politiche e procedure interne progettate per proteggere i Dati Personali.

b. Le responsabilit\u00e0 per la sicurezza delle informazioni sono definite e assegnate.

c. Vengono condotte valutazioni regolari dei rischi per identificare e mitigare le minacce ai Dati Personali.

2. Sicurezza del personale:

a. I dipendenti e i collaboratori che hanno accesso ai Dati Personali sono soggetti a obblighi di riservatezza.

b. Al personale interessato viene fornita una formazione sulla sicurezza in merito alle proprie responsabilit\u00e0 in materia di protezione dei dati e sicurezza.

c. Possono essere effettuati controlli dei precedenti penali per il personale che ricopre ruoli sensibili, ove consentito dalla legge applicabile.

3. Controllo degli accessi fisici:

a. Sono in atto misure per impedire l'accesso fisico non autorizzato ai locali e alle strutture di MEFERI in cui i Dati Personali possono essere Trattati (ad esempio, uffici).

b. Ci\u00f2 include perimetri di sicurezza, sistemi di controllo degli accessi, sorveglianza e registrazione degli accessi fisici, ove appropriato.

c. Per i data center utilizzati da MEFERI per i Servizi (vale a dire quelli del suo principale fornitore di servizi cloud, Amazon Web Services \u2013 AWS), MEFERI si affida alle solide misure di sicurezza fisica implementate da AWS.

4. Controllo dell'accesso al sistema (accesso logico):

a. L'accesso ai sistemi informatici Il trattamento dei dati personali \u00e8 limitato al personale autorizzato.

b. Vengono utilizzati ID utente univoci e meccanismi di autenticazione avanzati (ad esempio password complesse, autenticazione a pi\u00f9 fattori, ove appropriato e fattibile).

c. I diritti di accesso vengono concessi in base al principio del privilegio minimo (controllo degli accessi basato sui ruoli).

d. Vengono effettuate revisioni periodiche dei diritti di accesso.

e. Per l'accesso remoto vengono utilizzati protocolli sicuri.

5. Controllo dell'accesso ai dati:

a. Sono in atto misure per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati possano accedere solo ai Dati Personali a cui si riferisce il loro diritto di accesso, in conformit\u00e0 con i ruoli e le responsabilit\u00e0 loro assegnati.

b. I Dati Personali non vengono letti, copiati, modificati o rimossi senza autorizzazione durante l'Elaborazione, l'uso e dopo l'archiviazione, salvo quanto necessario per la fornitura dei Servizi o come indicato dal Cliente.

c. La separazione dei compiti e dei dati viene attuata ove opportuno.

6. Controllo della trasmissione:

a. I dati personali sono protetti contro la lettura, la copia, la modifica o la rimozione non autorizzate durante la trasmissione o il trasporto elettronico.

b. Per proteggere i Dati Personali trasmessi su reti pubbliche vengono utilizzate tecnologie di crittografia (ad esempio Transport Layer Security \u2013 TLS\/Secure Sockets Layer \u2013 SSL per i dati in transito).

c. Qualora si verifichino trasferimenti di supporti fisici contenenti Dati Personali, vengono utilizzati metodi sicuri.

7. Controllo di input:

a. Vengono implementate misure per garantire che sia possibile successivamente verificare e stabilire se e da chi i Dati Personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati (ad esempio, tramite registri di controllo).

b. Sono implementate funzionalit\u00e0 di registrazione e auditing per le attivit\u00e0 di sistema critiche relative al trattamento dei dati personali.

8. Backup e ripristino dei dati:

a. Vengono eseguiti backup regolari dei Dati Personali Elaborati nell'ambito dei Servizi per garantire la disponibilit\u00e0 e l'integrit\u00e0 dei dati.

b. Le procedure di backup e ripristino vengono definite e testate periodicamente.

c. I backup vengono archiviati in modo sicuro.

9. Controllo della disponibilit\u00e0 e resilienza:

a. I sistemi sono progettati e configurati per garantire la disponibilit\u00e0 dei Dati Personali e la resilienza dei sistemi e dei servizi di elaborazione.

b. Ci\u00f2 include misure quali ridondanza, tolleranza agli errori e capacit\u00e0 di disaster recovery, sfruttando principalmente l'infrastruttura del principale fornitore di servizi cloud di MEFERI (Amazon Web Services \u2013 AWS).

10. Segregazione dei dati:

a. I dati personali del cliente sono logicamente separati dai dati degli altri clienti MEFERI all'interno dei Servizi.

11. Sviluppo software sicuro (per le piattaforme cloud di MEFERI):

a. Le pratiche e i principi di codifica sicura sono incorporati nel ciclo di vita dello sviluppo software di MEFERI per le sue piattaforme cloud.

b. I test di sicurezza (ad esempio, scansione delle vulnerabilit\u00e0, test di penetrazione) vengono condotti in modo appropriato per i Servizi.

c. Sono in atto procedure per l'identificazione, la valutazione e la correzione delle vulnerabilit\u00e0 nel software di MEFERI.

12. Gestione degli incidenti:

a. MEFERI mantiene un piano di risposta agli incidenti e procedure per rilevare, rispondere e ripristinare gli incidenti di sicurezza, comprese le violazioni dei dati personali.

b. Gli incidenti vengono indagati, documentati e vengono adottate le opportune misure correttive.

c. Sono stabiliti piani di comunicazione per le notifiche interne ed esterne come richiesto dalla legge applicabile in materia di protezione dei dati e dal presente DPA.

13. Gestione dei sub-responsabili:

a. Prima di coinvolgere i sub-responsabili del trattamento, viene effettuata la due diligence per garantire che possano fornire un livello adeguato di protezione dei dati.

b. Sono in vigore accordi contrattuali con i sub-responsabili del trattamento che impongono obblighi di protezione dei dati almeno equivalenti a quelli imposti a MEFERI ai sensi del presente DPA.

14. Monitoraggio e registrazione:

a. I sistemi che elaborano i Dati Personali vengono monitorati per rilevare eventi e anomalie di sicurezza, ove opportuno e fattibile.

b. I registri pertinenti vengono raccolti e rivisti secondo necessit\u00e0 per rilevare, indagare e rispondere agli incidenti di sicurezza.

15. Crittografia:

a. La crittografia dei dati personali inattivi viene implementata ove appropriato e tecnicamente fattibile (ad esempio, per l'archiviazione di database contenenti dati personali sensibili).

b. La crittografia dei dati personali in transito sulle reti pubbliche viene implementata utilizzando protocolli standard del settore (ad esempio, TLS).

*(Il Cliente riconosce che le Misure di Sicurezza sono soggette a progresso e sviluppo tecnico e che MEFERI pu\u00f2 aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un degrado della sicurezza complessiva dei Servizi acquistati dal Cliente.)*

\u2014

APPENDICE 3<\/strong>

SUB-RESPONSABILI

Il Cliente fornisce a MEFERI un'autorizzazione generale per utilizzare le categorie di Sub-responsabili del trattamento elencate di seguito. MEFERI manterr\u00e0 un elenco aggiornato dei suoi Sub-responsabili specifici, che sar\u00e0 reso disponibile al Cliente pubblicandolo su una pagina web designata sul sito web di MEFERI. https:\/\/meferi.com\/support-services\/legal-center\/sub-processor-list\/<\/a>. e fornir\u00e0 questo elenco al Cliente su richiesta scritta al contatto per la protezione dei dati di MEFERI (ad esempio, legal@meferi.com<\/a>).

Categorie di sub-responsabili e finalit\u00e0:

1. Fornitori di infrastrutture cloud: \u2013 Sub-responsabile e specifiche per l'hosting principale dei servizi forniti al cliente ai sensi del contratto principale:

\u2013 Entit\u00e0: Amazon Web Services EMEA SARL (o l'entit\u00e0 contraente AWS pertinente per i servizi forniti nello SEE).

\u2013 Scopo: fornire l'infrastruttura di cloud computing di base (server, storage, networking, database) per l'hosting dei Servizi MEFERI (ad esempio, Shadowalk Cloud, backend CIAO Cloud) forniti al Cliente ai sensi del Contratto principale.

\u2013 Luogo di elaborazione dei dati personali del cliente (hosting primario): la regione AWS primaria per l'elaborazione dei dati personali del cliente ai sensi del presente DPA \u00e8 eu-west-3 (Parigi, Francia) all'interno dello Spazio economico europeo (SEE).

\u2013 Tutele per il trasferimento dei dati: AWS fornisce un Addendum sul trattamento dei dati (DPA) che include Clausole contrattuali standard (SCC) per disciplinare i trasferimenti di dati personali, che si applicano se i dati vengono elaborati da AWS o trasferiti da AWS a sedi al di fuori del SEE che non sono coperte da una decisione di adeguatezza. Il cliente pu\u00f2 consultare l'Addendum sul trattamento dei dati di AWS all'indirizzo  https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf <\/a>e informazioni sulla conformit\u00e0 al GDPR di AWS su  https:\/\/aws.amazon.com\/compliance\/gdpr-center\/<\/a>

\u2013 Nota sulle CDN (se applicabile): se MEFERI utilizza AWS CloudFront o servizi di rete per la distribuzione di contenuti (CDN) simili per migliorare le prestazioni dei Servizi, copie di determinati dati (in genere risorse statiche o contenuti memorizzati nella cache, che possono includere o meno Dati Personali a seconda della configurazione) potrebbero essere temporaneamente memorizzate nella cache presso le edge location AWS in tutto il mondo. Tuttavia, l'archiviazione autorevole e l'elaborazione primaria dei Dati Personali del Cliente per i Servizi rimarranno nella regione AWS sopra specificata (eu-west-3). MEFERI garantir\u00e0 che tutti i Dati Personali del Cliente distribuiti tramite CDN siano gestiti in conformit\u00e0 con i requisiti del GDPR.

\u2013 Altri fornitori di infrastrutture cloud per i servizi forniti al cliente ai sensi del contratto principale:

\u2013 Attualmente, MEFERI non si avvale di altri fornitori di infrastrutture cloud di terze parti per l\u2019hosting primario o la fornitura diretta dei Servizi definiti nell\u2019Accordo principale, oltre a quanto descritto sopra.

2. Fornitori di servizi di comunicazione:

\u2013 Scopo: facilitare le comunicazioni essenziali al Cliente o ai suoi utenti autorizzati in relazione alla fornitura e all'uso dei Servizi (ad esempio, invio di e-mail per notifiche di servizio, reimpostazioni di password, avvisi di sicurezza e invio di SMS per avvisi critici o codici di autenticazione a due fattori).

\u2013 Sub-responsabili specifici utilizzati:

\u2013 Per comunicazioni via e-mail:

\u2013 Entit\u00e0: Amazon Web Services EMEA SARL (che utilizza Amazon Simple Email Service \u2013 SES).

\u2013 Scopo specifico per MEFERI: per l'invio di notifiche e-mail transazionali e relative ai servizi agli utenti autorizzati del Cliente (ad esempio, avvisi sull'account, reimpostazioni della password, aggiornamenti del servizio, informazioni di sicurezza critiche) in relazione ai Servizi.

\u2013 Luogo del trattamento: l'infrastruttura di invio delle e-mail \u00e8 situata principalmente all'interno delle regioni AWS che MEFERI utilizza per i suoi Servizi (ad esempio, configurata per inviare da una regione SEE come eu-west-1 Irlanda o eu-west-3 Parigi, ove possibile). Il trattamento di qualsiasi Dato Personale (come indirizzi e-mail e contenuto delle e-mail) tramite SES \u00e8 regolato dall'Addendum sul Trattamento dei Dati AWS.

\u2013 Tutele per il trasferimento dei dati: coperte dall\u2019Addendum sull\u2019elaborazione dei dati di Amazon Web Services, che include clausole contrattuali standard. Disponibile

A: https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf.<\/a>

\u2013 Per le comunicazioni SMS:

\u2013 Entit\u00e0: Twilio Inc.

\u2013 Scopo specifico per MEFERI: per l'invio di notifiche SMS agli utenti autorizzati del Cliente come parte dei Servizi, ad esempio per avvisi critici o per la consegna di codici di autenticazione a due fattori (2FA), se tali funzionalit\u00e0 sono abilitate e utilizzate dal Cliente.

\u2013 Natura dei dati trattati: in genere include i numeri di telefono degli utenti autorizzati del Cliente e il contenuto dei messaggi SMS (ad esempio, codici di autenticazione, testo di avviso).

\u2013 Luogo del trattamento: principalmente USA.

\u2013 Tutele per il trasferimento dei dati: i trasferimenti di dati personali sono regolati dall'Addendum sul trattamento dei dati di Twilio, che incorpora le clausole contrattuali standard (SCC). Il cliente pu\u00f2 consultare il DPA di Twilio all'indirizzo: https:\/\/www.twilio.com\/legal\/data-protection-addendum.<\/a>

\u2013 Altri fornitori di servizi di comunicazione:

\u2013 Attualmente, MEFERI non si avvale di altri fornitori di servizi di comunicazione terzi per il trattamento dei Dati Personali del Cliente ai sensi del presente DPA, oltre a quanto sopra descritto per e-mail e SMS. Qualora vengano introdotte funzionalit\u00e0 specifiche che richiedono altri tipi di servizi di comunicazione e il Cliente ne accetti l'utilizzo, MEFERI aggiorner\u00e0 questo elenco e ne dar\u00e0 comunicazione al Cliente in conformit\u00e0 alla Sezione 6.2 del presente DPA.

3. Fornitori di analisi e monitoraggio delle prestazioni dei servizi:

\u2013 Finalit\u00e0: Monitorare le prestazioni, identificare errori e analizzare i modelli di utilizzo dei Servizi di MEFERI (ad esempio, Shadowalk Cloud, backend Cloud di CIAO) per mantenere e migliorare la stabilit\u00e0, la funzionalit\u00e0 e l'esperienza utente del servizio. I dati elaborati da questi fornitori per i Servizi di MEFERI sono in genere pseudonimizzati, aggregati o costituiti da dati tecnico\/operativi. MEFERI non utilizza questi fornitori per analizzare il contenuto specifico dei Dati Personali del Cliente all'interno dei Servizi, a meno che non sia esplicitamente indicato o concordato con il Cliente per scopi di supporto o risoluzione dei problemi.

\u2013 Sub-responsabili specifici utilizzati:

\u2013 Entit\u00e0: Functional Software, Inc. (che opera con il nome di Sentry).

\u2013 Scopo specifico per MEFERI: per il monitoraggio degli errori in tempo reale, la diagnostica e il monitoraggio delle prestazioni all'interno dei servizi basati su cloud di MEFERI (Shadowalk Cloud, backend CIAO Cloud) per aiutare a identificare e risolvere i problemi tecnici.

\u2013 Natura dei dati trattati: in genere include messaggi di errore, stack trace, informazioni su dispositivi\/browser, indirizzi IP (che MEFERI pu\u00f2 configurare per essere resi anonimi o non archiviati ove possibile nell'ambito delle capacit\u00e0 di Sentry) e altri metadati operativi relativi agli eventi del servizio. MEFERI configura la sua integrazione con Sentry per ridurre al minimo l'acquisizione dei dati personali del cliente.

\u2013 Luogo del trattamento: principalmente USA.

\u2013 Tutele per il trasferimento dei dati: i trasferimenti sono regolati dall'Addendum sul trattamento dei dati di Sentry, che incorpora le clausole contrattuali standard. Disponibile all'indirizzo: https:\/\/sentry.io\/legal\/dpa\/<\/a>

\u2013 Analisi del sito web e del portale (MEFERI come Titolare del trattamento):

\u2013 Per le analisi relative al sito web aziendale di MEFERI (ad esempio, meferi.com) e ad altri portali pubblici di propriet\u00e0 di MEFERI in cui MEFERI agisce in qualit\u00e0 di Titolare del trattamento dei dati, i dettagli dei fornitori di analisi (come Google Analytics) e del trattamento dei dati sono descritti nell'Informativa sulla privacy generale di MEFERI. Questi fornitori non sono elencati qui come sub-responsabili del trattamento ai sensi del presente DPA, a meno che non trattino anche i Dati personali del Cliente per conto di MEFERI nel contesto dei Servizi forniti al Cliente.<\/p>\n

4. Strumenti di supporto e assistenza clienti:<\/p>\n

\u2013 <\/strong>Scopo: gestire le richieste di assistenza clienti, fornire servizi di helpdesk e facilitare la comunicazione relativa all'assistenza per i Servizi di MEFERI.<\/p>\n

\u2013 Sub-responsabili specifici utilizzati:<\/p>\n