Addendum sul trattamento dei dati
Versione in vigore da settembre 2021
Accettando i termini dell'Accordo che si riferiscono alla presente Appendice sul Trattamento dei dati ("DPA"), l'utente ("Abbonato") accetta i termini stabiliti nel presente documento, che sono incorporati nell'Accordo per riferimento.
PREMESSA
Bentley e l'Abbonato, per conto proprio e delle sue società affiliate, hanno stipulato uno o più moduli d'ordine, contratti e/o accordi ("Accordo") in base a cui Bentley ha accettato di concedere in licenza software e/o prodotti e/o fornire servizi all'Abbonato come descritto nell'Accordo (collettivamente, i "Servizi"). I termini in maiuscolo utilizzati ma non altrimenti definiti nel presente DPA avranno il significato ad essi attribuito nell'Accordo. In caso di conflitto tra i termini del presente DPA e i termini dell'Accordo, i termini del presente DPA prevarranno rispetto a tale conflitto. L'Accordo include tutti gli allegati, i prospetti, le appendici, le dichiarazioni di lavoro o altri allegati che ne fanno parte o che sono incorporati nell'Accordo, incluso il presente DPA.
Aderendo all'Accordo, l'Abbonato stipula il presente DPA per conto proprio e, nella misura richiesta dalle Leggi e dai regolamenti sulla protezione dei dati applicabili, in nome e per conto delle sue società affiliate, se e nella misura in cui Bentley elabora i Dati personali per i quali tali società affiliate si qualificano come titolare del trattamento. Ai fini del presente DPA e, salvo ove diversamente indicato, il termine "Abbonato" comprende solo l'Abbonato e le società affiliate.
Nel corso della fornitura dei Servizi all'Abbonato ai sensi dell'Accordo, Bentley può trattare i Dati personali per conto dell'Abbonato e le Parti accettano di rispettare le seguenti disposizioni in relazione ai Dati personali, agendo ciascuna in modo ragionevole e in buona fede.
1. DEFINIZIONI
"Società affiliata" indica qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sottoposta a controllo comune con la rispettiva entità. "Controllo", ai fini di questa definizione, indica la proprietà diretta o indiretta o il controllo di oltre il 50% dei diritti di voto della rispettiva entità.
"CCPA" indica il California Consumer Privacy Act (Legge sulla privacy dei consumatori della California), Cal. Civ. Code § 1798.100 e segg., e le sue normative sull'implementazione.
"Titolare del trattamento" indica l'entità che determina le finalità e i mezzi del trattamento dei Dati personali.
"Violazione dei dati" indica una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali trasmessi, memorizzati o altrimenti elaborati da Bentley ai sensi dell'Accordo.
"Leggi e regolamenti sulla protezione dei dati" indica tutte le leggi e i regolamenti, comprese le leggi e i regolamenti applicabili al Trattamento dei Dati Personali ai sensi dell'Accordo, come di volta in volta modificati. Al fine di evitare dubbi, se le attività di trattamento dei Dati personali da parte di Bentley non rientrano nell’ambito di applicazione di una determinata legge sulla protezione dei dati, tale legge non è applicabile ai fini del presente DPA.
"Persona interessata" indica la persona identificata o identificabile alla quale si riferiscono i Dati personali.
"RGPD" indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), anche come implementato o adottato ai sensi delle leggi del Regno Unito.
"Dati personali" indica qualsiasi informazione relativa a (i) una persona fisica identificata o identificabile e (ii) una persona giuridica identificata o identificabile (dove tali informazioni sono protette allo stesso modo dei Dati personali o delle informazioni di identificazione personale ai sensi delle Leggi e dei regolamenti sulla protezione dei dati applicabili).
"Trattamento" indica qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
"Processore" indica l'entità che tratta i Dati personali per conto del Titolare del trattamento, incluso, se del caso, qualsiasi “fornitore di servizi" come definito dal CCPA.
"Abbonato" indica l'entità che ha stipulato l'Accordo insieme alle sue società affiliate (fintanto che queste rimangono affiliate).
"Clausole contrattuali standard dell'UE" indica le clausole contrattuali standard di cui alla Decisione di esecuzione 2021/914 della Commissione del 4 giugno 2021, relativa alle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, disponibile qui.
"Subincaricato" indica qualsiasi responsabile del trattamento incaricato da Bentley o dalle società affiliate di Bentley per conto di Bentley.
"Autorità di controllo" indica un'autorità pubblica indipendente istituita da uno Stato membro dell'UE ai sensi del RGPD o, per il Regno Unito, l'Information Commissioner's Office ("ICO").
2. TRATTAMENTO DEI DATI PERSONALI
2.1. Ruoli delle Parti. Le parti riconoscono e concordano che, per quanto riguarda il Trattamento dei Dati personali, l'Abbonato è il titolare del trattamento e Bentley è il responsabile del trattamento e che Bentley si avvarrà di Subincaricati ai sensi dei requisiti di cui alla Sezione 5 "Subincaricati" di seguito.
2.2. Trattamento dei Dati personali da parte dell'Abbonato. L'Abbonato dovrà, nel suo utilizzo dei Servizi, trattare i Dati personali in conformità ai requisiti delle Leggi e dei regolamenti sulla protezione dei dati, incluso qualsiasi requisito applicabile per la comunicazione alle persone interessate relativo al ruolo di Bentley come Responsabile del trattamento. A scanso di equivoci, le istruzioni dell'Abbonato per il Trattamento dei Dati personali devono rispettare le Leggi e i regolamenti sulla protezione dei dati. L'Abbonato è l'unico responsabile dell'accuratezza, della qualità e della legalità (i) dei Dati personali forniti a Bentley da o per conto dell'Abbonato, (ii) dei mezzi con cui l'Abbonato ha acquisito i Dati personali e (iii) delle istruzioni fornite a Bentley. L'Abbonato non fornirà o metterà a disposizione di Bentley alcun Dato personale in violazione dell'Accordo, o che sia altrimenti inappropriato per la natura dei Servizi e terrà indenne Bentley da qualsiasi reclamo e perdita in relazione alla violazione da parte dell'Abbonato delle Leggi e dei regolamenti sulla protezione dei dati applicabili.
2.3. Trattamento dei Dati personali da parte di Bentley. Bentley tratterà i Dati personali come informazioni riservate e tratterà i Dati personali per conto e solo in conformità alle istruzioni documentate dell'Abbonato, salvo se diversamente richiesto da un requisito legale a cui Bentley è soggetta, per le seguenti finalità: (i) Trattamento in conformità all'Accordo e ai moduli d'ordine; (ii) Trattamento avviato dagli utenti nell'utilizzo dei Servizi; (iii) Trattamento in conformità ad altre istruzioni ragionevoli documentate fornite dall'Abbonato (ad es. via e-mail) laddove tali istruzioni siano coerenti con i termini dell'Accordo e (iv) Trattamento in conformità alle Leggi e ai Regolamenti sulla protezione dei dati. Nel caso in cui Bentley sia soggetta a un obbligo legale, Bentley informerà l'Abbonato di tale obbligo legale, a meno che la legge non lo vieti.
L'Abbonato autorizza Bentley a trattare i Dati personali in conformità a quanto sopra e nell'ambito dell'utilizzo dei Servizi da parte dell'Abbonato.
2.4. Il ruolo di Bentley come fornitore di servizi ai sensi del CCPA. Le parti riconoscono e concordano che Bentley è un fornitore di servizi ai fini del CCPA e che riceve i Dati personali dall'Abbonato ai sensi dell'Accordo per uno scopo commerciale. Bentley non venderà tali Dati personali né conserverà, utilizzerà o divulgherà i Dati personali forniti dall'Abbonato ai sensi dell'Accordo, tranne nei casi necessari per l'esecuzione dei Servizi o altrimenti come stabilito nell'Accordo o secondo quanto consentito dal CCPA. I termini "fornitore di servizi" e "vendere" sono definiti nella Sezione 1798.140 del CCPA. Bentley certifica di aver compreso le restrizioni di questa sezione.
2.5. Dettagli del Trattamento. L'oggetto del Trattamento dei Dati personali da parte di Bentley è l'esecuzione dei Servizi ai sensi dell'Accordo. La durata, la natura e lo scopo del Trattamento, i tipi di Dati personali e le categorie delle persone interessate ai sensi del presente DPA e le informazioni sul trasferimento dei Dati personali come richiesto dagli Allegati I e II delle Clausole contrattuali standard dell'UE (se applicabili) sono ulteriormente specificate nell'Allegato 2 del presente DPA.
3. DIRITTI DELLE PERSONE INTERESSATE
Richiesta della persona interessata. Bentley, nei limiti consentiti dalla legge, informerà tempestivamente l'Abbonato qualora Bentley riceva una richiesta da parte di una persona interessata per esercitare il diritto di accesso, il diritto di rettifica, la limitazione del trattamento, la cancellazione ("diritto all'oblio"), la portabilità dei dati, l'opposizione al trattamento o il diritto di non essere soggetto a un processo decisionale individuale automatizzato; ciascuna di tali richieste è una "Richiesta della persona interessata". Considerando la natura del trattamento, Bentley assisterà l'Abbonato con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo dell'Abbonato di rispondere a una richiesta della persona interessata ai sensi delle Leggi e dei regolamenti sulla protezione dei dati.
4. PERSONALE BENTLEY
4.1. Riservatezza. Bentley si impegna a garantire che il proprio personale coinvolto nel Trattamento di Dati personali sia informato della natura riservata dei Dati personali, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia stipulato accordi scritti di riservatezza. Bentley dovrà garantire che tali obblighi di riservatezza sopravvivano alla cessazione del coinvolgimento da parte del personale.
4.2. Limitazione dell'accesso. Bentley garantirà che l'accesso da parte di Bentley ai Dati personali sia limitato al personale che esegue i Servizi in conformità all'Accordo.
4.3. Responsabile della protezione dei dati. Bentley ha nominato un Responsabile della protezione dei dati. È possibile contattare la persona nominata all'indirizzo dpo@bentley.com.
5. SUBINCARICATI
5.1. Nomina dei Subincaricati. L'Abbonato riconosce e accetta che (a) le società affiliate di Bentley possono essere assunte come Subincaricati; e (b) Bentley e le società affiliate di Bentley, rispettivamente, possono coinvolgere i Subincaricati di terze parti in relazione alla fornitura dei Servizi. Bentley o una società affiliata di Bentley ha stipulato un accordo scritto con ciascun Subincaricato contenente obblighi di protezione dei dati non meno protettivi di quelli contenuti nel presente DPA relativi alla protezione dei Dati personali dell'Abbonato nella misura applicabile alla natura dei Servizi forniti da tale Subincaricato.
5.2. Elenco dei Subincaricati attuali, notifica dei nuovi Subincaricati e meccanismo di consenso. Bentley dovrà rendere disponibile all'Abbonato l'elenco degli attuali Subincaricati per i Servizi. L'Abbonato può trovare un elenco aggiornato dei Subincaricati online qui. L'Abbonato autorizza in generale Bentley e le società affiliate di Bentley a rimuovere o aggiungere nuovi Subincaricati in conformità alla presente Sezione 5. I nuovi Subincaricati che accedono ai Dati personali dell'Abbonato dovranno essere approvati dall'Abbonato tramite il seguente meccanismo di consenso:
- Bentley informerà l'Abbonato almeno trenta (30) giorni prima di autorizzare un nuovo subincaricato ad accedere ai Dati personali, aggiornando il subincaricato nell'elenco online del Trust Center di Bentley.
- Se in questo periodo di trenta (30) giorni l'Abbonato non solleva obiezioni ragionevoli per iscritto a Bentley, ciò sarà considerato come un'approvazione del nuovo subincaricato da parte dell'Abbonato.
- Se l'Abbonato solleva obiezioni ragionevoli, Bentley avrà il diritto di interrompere il Servizio in questione all'Abbonato con un preavviso di quattordici (14) giorni, a meno che Bentley non decida di (a) continuare il Servizio senza l'impiego del Subincaricato contestato dall'Abbonato, (b) adottare misure sufficienti per risolvere i problemi sollevati nell'obiezione dell'Abbonato o (c) in accordo con l'Abbonato, cessare di fornire (temporaneamente o permanentemente) il particolare aspetto del Servizio che comporterebbe l'uso del Subincaricato. Ciascun Subincaricato sarà vincolato da obblighi di protezione di dati coerenti con quelli del presente Accordo.
5.3. Affidabilità. Bentley sarà responsabile per gli atti e le omissioni dei suoi Subincaricati nella medesima misura in cui sarebbe responsabile se eseguisse direttamente i servizi di ciascun Subincaricato ai sensi dei termini del presente DPA, salvo quanto diversamente stabilito nell'Accordo.
6. SICUREZZA
Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e degli scopi del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, Bentley dovrà mantenere adeguate misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio di Trattamento dei Dati personali. Bentley dovrà quanto meno:
- Adottare politiche e standard relativi alla sicurezza delle informazioni;
- Assegnare la responsabilità della gestione della sicurezza delle informazioni;
- Distribuire risorse adeguate al personale per la sicurezza delle informazioni;
- Effettuare controlli sulle reference o sui precedenti dei dipendenti a tempo indeterminato che avranno accesso ai dati personali e come necessario per i requisiti di conformità (ove possibile e lecito in ogni giurisdizione pertinente);
- Richiedere a tutti i dipendenti Bentley di rispettare una Politica scritta sulla sicurezza delle informazioni;
- Disporre di procedure per impedire l'accesso non autorizzato ai Dati personali tramite l'utilizzo di controlli di accesso fisici e logici, aree sicure per il trattamento e strumenti di prevenzione della perdita di dati;
- Garantire la costante conformità alle politiche e agli standard relativi alla protezione dei dati.
Bentley ha il diritto di modificare le misure tecniche e organizzative a sua esclusiva discrezione, a condizione che il livello generale di sicurezza dei Servizi non venga degradato. Ulteriori informazioni sulle misure tecniche e organizzative di Bentley sono disponibili nel Trust Center di Bentley, come aggiornato di volta in volta.
7. DIRITTO DELL'ABBONATO ALLA REVISIONE
Per la durata del presente DPA, su richiesta dell'Abbonato, non più di una volta per anno solare, e subordinatamente a un accordo di non divulgazione, Bentley fornirà all'Abbonato la relazione di revisione più recente eseguita da un revisore indipendente in modo che l'Abbonato possa ragionevolmente verificare la conformità di Bentley ai propri obblighi di protezione dei dati. L'Abbonato accetta di esercitare qualsiasi diritto di controllo e di ispezione di cui può disporre esclusivamente richiedendo e rivedendo tale relazione di revisione. Dopo che l'Abbonato ha esaminato quanto sopra, nel caso in cui siano necessarie ulteriori informazioni per dimostrare la conformità agli obblighi di Bentley in materia di protezione dei dati, l'Abbonato deve informare Bentley per iscritto, identificando specificamente l'obbligo che la relazione non dimostra di aver rispettato, la carenza nella relazione di revisione e le aree per le quali sono richieste ulteriori informazioni. Dopo la revisione, Bentley può informare il suo revisore indipendente delle carenze identificate in modo che possa includerle nelle sue procedure di revisione. A discrezione di Bentley, Bentley dovrà fare ogni ragionevole sforzo per conformarsi e fornire all'Abbonato (o esso stesso o un revisore accreditato registrato che agisce per conto dell'Abbonato, soggetto a obblighi di non divulgazione) l'accesso a ulteriori politiche, procedure, processi e/o prove di supporto supplementari che dimostrino il funzionamento dei controlli. L'Abbonato dovrà fornire a Bentley non meno di 30 giorni di preavviso, non è autorizzato a conservare copie di documentazione aggiuntiva o a creare copie, e non deve interferire in modo irragionevole con le operazioni aziendali di Bentley. L'Abbonato sarà responsabile di tutti i costi di tale controllo e potrebbero essere applicati costi aggiuntivi per compensare i costi sostenuti da Bentley.
8. GESTIONE E NOTIFICA DELLA VIOLAZIONE DEI DATI
Bentley si impegna a notificare all'Abbonato senza indebito ritardo la scoperta di una violazione dei dati. Nel corso della notifica all'Abbonato, Bentley fornirà all'Abbonato, per quanto possibile, informazioni sufficienti per consentire all'Abbonato di effettuare le notifiche richieste entro i tempi previsti dalle Leggi e dai regolamenti sulla protezione dei dati. Tali informazioni possono includere, a titolo esemplificativo: (i) la natura della violazione dei dati così come le categorie e il numero approssimativo dei soggetti interessati e dei record di Dati personali interessati; (ii) le probabili conseguenze della violazione dei dati, nella misura in cui le conseguenze possono essere determinate; e (iii) tutte le misure adottate per affrontare o mitigare la violazione dei dati.
9. RESTITUZIONE E CANCELLAZIONE DEI DATI PERSONALI
Bentley conserverà i Dati personali ricevuti dall'Abbonato o creati per conto dell'Abbonato solo per il tempo necessario a eseguire i servizi previsti dall'Accordo o per quanto diversamente previsto dalla legge applicabile. Su richiesta dell'Abbonato, Bentley si impegna a restituire o distruggere i Dati personali ricevuti o creati ai sensi dell'Accordo, nella misura consentita dalla legge applicabile.
10. LIMITAZIONE DI RESPONSABILITÀ
La responsabilità totale di ciascun Abbonato e di Bentley (e dei rispettivi dipendenti, direttori, funzionari, società affiliate, successori e cessionari), derivante da o correlata al presente DPA, sia per contratto, che per illecito civile o altra teoria di responsabilità, è soggetta alla sezione "Limitazione di responsabilità" dell'Accordo e qualsiasi riferimento in tale sezione alla responsabilità di una parte indica la responsabilità complessiva di tale parte e di tutte le sue società affiliate ai sensi dell'Accordo e di tutti i DPA insieme.
11. DISPOSIZIONI SPECIFICHE EUROPEE
11.1. RGPD. Bentley tratterà i Dati personali in conformità ai requisiti del RGPD direttamente applicabili alla fornitura dei Servizi da parte di Bentley.
11.2. Valutazione dell'impatto sulla protezione dei dati. Bentley fornirà all'Abbonato un'assistenza ragionevole in relazione a qualsiasi valutazione dell'impatto sulla protezione dei dati e/o a consultazioni precedenti che potrebbero essere necessarie in relazione al trattamento eseguito ai sensi dell'Accordo, nella misura richiesta dal RGPD.
11.3. Notifica dell'ispezione. Bentley accetta di informare l'Abbonato di qualsiasi ispezione o controllo da parte di un autorità di controllo riguardante la conformità con le Leggi e i regolamenti sulla protezione dei dati nella misura correlata ai Servizi forniti ai sensi dell'Accordo. Bentley collaborerà con le autorità di controllo competenti su richiesta dell'Abbonato in misura ragionevole.
11.4. Meccanismi di trasferimento dei dati. Bentley mette a disposizione il meccanismo di trasferimento elencato nell'Allegato 1 che si applicherà a qualsiasi trasferimento di Dati Personali ai sensi del presente DPA dall'Unione Europea, dallo Spazio economico europeo e/o dai loro Stati membri, dalla Svizzera e dal Regno Unito verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi e dei regolamenti sulla protezione dei dati dei suddetti territori, nella misura in cui tali trasferimenti sono soggetti a tali Leggi e regolamenti sulla protezione dei dati. Inoltre, l'Allegato 1 contiene ulteriori termini sull'applicazione dei meccanismi di trasferimento ivi stabiliti.
12. DISPOSIZIONI FINALI
12.1. Effetto giuridico. Il presente DPA può essere redatto in varie copie, ognuna delle quali sarà considerata un originale, ma tutte insieme saranno considerate un unico e medesimo accordo. Una copia firmata del presente DPA consegnata via fax, e-mail o altro mezzo di trasmissione elettronica (a cui è allegata una copia firmata in formato PDF) sarà considerata avere gli stessi effetti legali della consegna di una copia originale firmata del presente DPA.
12.2. Termine specifico della giurisdizione. Nella misura in cui Bentley elabora i Dati personali provenienti e protetti dalle Leggi e dai regolamenti sulla protezione dei dati in una delle giurisdizioni elencate nell'Allegato 5 (Termini specifici della giurisdizione) del presente DPA, i termini specificati nell'Allegato 5 in relazione alle giurisdizioni applicabili si applicano in aggiunta ai termini del presente DPA.
12.3. Conflitto. Nell'eventualità di conflitti o incongruenze tra il corpo del presente DPA (compresi i suoi allegati e le sue appendici diversi da quelli delle Clausole contrattuali standard dell'UE) e le Clausole contrattuali standard dell'UE, prevalgono le Clausole contrattuali standard dell'UE.
Elenco degli Allegati
Allegato 1: Meccanismi di trasferimento e termini aggiuntivi per i trasferimenti di dati europei Allegato 2: Dettagli del Trattamento e del Trasferimento dei Dati personali
Allegato 3: SCC-Matrix
Allegato 4: Dati di contatto delle parti e identificazione dell'autorità di controllo competente Allegato 5: Termini specifici della giurisdizione
ALLEGATO 1 – MECCANISMI DI TRASFERIMENTO E CONDIZIONI AGGIUNTIVE PER I TRASFERIMENTI DI DATI EUROPEI
Il presente Allegato 1 definisce i meccanismi di trasferimento per il trasferimento dei Dati personali dell'Abbonato soggetti alle leggi sulla protezione dei dati applicabili nell'Unione Europea, nello Spazio economico europeo e/o nei loro stati membri, in Svizzera e nel Regno Unito a Bentley Systems, Incorporated in qualità di referente ("Trasferimenti di dati europei"), nonché i termini aggiuntivi relativi all'ambito e all'applicazione di tali meccanismi di trasferimento quando si utilizzano i Servizi forniti da Bentley.
Trasferimenti di dati europei
Questa sezione si applica al trasferimento dei Dati personali dell'Abbonato a Bentley Systems, Incorporated durante l'utilizzo dei Servizi Bentley, a condizione che il trasferimento di tali Dati personali sia soggetto al RGPD.
1.1. Applicazione delle Clausole contrattuali standard dell'UE
Nel caso in cui i Dati personali dell'Abbonato soggetti al RGPD siano trasferiti a Bentley Systems, Incorporated, tale trasferimento è soggetto alle Clausole contrattuali standard dell'UE. Le Clausole contrattuali standard dell'UE forniscono diversi moduli applicabili a seconda dell'entità che sta esportando e importando i Dati personali dell'Abbonato.
- Laddove la parte contrattuale del presente DPA sia Bentley Systems International Limited, il Modulo 3 delle Clausole contrattuali standard dell'UE (da Responsabile del trattamento a Responsabile del trattamento) si applica a e tra Bentley Systems International Limited in qualità di "Esportatore dei dati" e Bentley Systems, Incorporated in qualità di "Importatore dei dati" in relazione al trasferimento dei Dati personali dell'Abbonato a Bentley Systems, Incorporated. Bentley fornirà all'Abbonato una copia delle Clausole contrattuali standard dell'UE stipulate tra Bentley Systems International Limited e Bentley Systems, Incorporated su richiesta.
- Laddove la parte contrattuale del presente DPA sia Bentley Systems, Incorporated, il Modulo 2 delle Clausole contrattuali standard dell'UE (da Titolare del trattamento a Responsabile del trattamento) si applica a e tra l'Abbonato come "Esportatore dei dati" e Bentley Systems, Incorporated come "Importatore dei dati" in relazione al trasferimento dei Dati personali dell'Abbonato a Bentley Systems, Incorporated. In questo caso, l'Abbonato dovrà attenersi al processo di esecuzione definito nella Sezione 1.2. del presente Allegato 1.
1.2. Processo di esecuzione per il Modulo 2 delle Clausole contrattuali standard dell'UE
Nel caso in cui il Modulo 2 delle Clausole contrattuali standard dell'UE si applichi come definito nella Sezione 1.1 del presente Allegato 1, l'Abbonato deve essere conforme al seguente processo di esecuzione:
L'Allegato 3 contiene una matrice ("SCC-Matrix") che specifica quali opzioni previste nel Modulo 2 delle Clausole contrattuali standard dell'UE sono applicabili e dove le informazioni relative al trasferimento dei dati personali richieste negli allegati delle Clausole contrattuali standard dell'UE sono definite nel DPA.
1.3. Misure supplementari
Bentley fornisce le seguenti misure supplementari per garantire un livello adeguato di protezione ai sensi dell'Articolo 44 e segg., RGPD per i Dati personali dell'Abbonato trasferiti a Bentley Systems, Incorporated, a condizione che Bentley non sia impossibilitata, ai sensi della legge applicabile, a rispettare tali misure supplementari:
- Bentley informerà l'Abbonato senza indebito ritardo qualora un'autorità pubblica richieda l'accesso ai Dati personali dell'Abbonato. Nel caso in cui Bentley sia impossibilitata a informare l'Abbonato in una situazione dovuta alla legge applicabile, Bentley provvederà senza indugio a far cessare il trasferimento dei Dati personali verso il paese che ha richiesto l'accesso e a informare l'Abbonato la necessità di farlo. Le Parti avviano discussioni su come mitigare la situazione.
- Bentley adotterà senza indebito ritardo qualsiasi ricorso legale disponibile contro qualsiasi richiesta di accesso ai dati da parte delle autorità pubbliche e non divulgherà alcun Dato personale fino a quando non gli sarà ordinato da una decisione giudiziaria definitiva e vincolante.
- Bentley assisterà l'Abbonato fornendo qualsiasi informazione nella misura ragionevole qualora l'Abbonato decida di informare i soggetti interessati se i loro Dati personali sono interessati da una richiesta di accesso ai dati da parte di un'autorità pubblica.
- Bentley fornirà regolarmente all'Abbonato un resoconto di trasparenza sulle richieste di accesso ai Dati personali ricevute dalle autorità pubbliche in forma aggregata, comprendente almeno informazioni sulla quantità di richieste di dati, sul tipo di dati richiesti, sull'autorità pubblica richiedente e sulla misura in cui Bentley ha divulgato dati personali a tali autorità pubbliche.
- Bentley monitorerà costantemente qualsiasi sviluppo legale o politico che potrebbe portare alla sua incapacità di rispettare gli obblighi previsti dalle Clausole contrattuali standard dell'UE e informerà senza indebito ritardo l'Abbonato di tali modifiche e sviluppi.
- Bentley conferma di non aver creato di proposito programmi backdoor o simili che potrebbero essere utilizzati per accedere ai sistemi di Bentley e/o ai dati personali dell'Abbonato ivi memorizzati.
Su richiesta, sono disponibili ulteriori informazioni relative alle misure di protezione supplementari.
ALLEGATO 2 – DETTAGLI DEL TRATTAMENTO E DEL TRASFERIMENTO DEI DATI PERSONALI
Il presente Allegato 2 specifica le informazioni relative al Trattamento e al trasferimento di Dati personali in conformità alla Sezione 2.5 del DPA.
Descrizione delle attività di Trattamento e dei ruoli delle Parti
L'utilizzo dei Servizi Bentley da parte dell'Abbonato comporta il Trattamento dei Dati personali da parte di Bentley per conto dell'Abbonato. Qualsiasi trattamento dei dati personali dell'Abbonato viene effettuato da Bentley in qualità di responsabile del trattamento, mentre l'Abbonato agisce in qualità di titolare del trattamento.
Il trattamento dei Dati personali dell'Abbonato da parte di Bentley comporta la raccolta, il trasferimento, l'archiviazione e altre attività di trattamento necessarie per fornire, mantenere e aggiornare i Servizi forniti da Bentley all'Abbonato tramite i sistemi di Bentley. Qualsiasi dato personale trattato nei sistemi di Bentley quando si utilizzano i Servizi forniti da Bentley viene trasferito e archiviato su server situati negli Stati Uniti e gestiti da Bentley Systems, Incorporated.
Natura e finalità del Trattamento
Bentley tratterà i Dati personali come necessario per eseguire i Servizi ai sensi dell'Accordo, come ulteriormente specificato nella documentazione, e come ulteriormente richiesto dall'Abbonato nell'uso dei Servizi.
Durata del Trattamento
Ai sensi della Sezione 9 del DPA, Bentley tratterà i Dati personali per tutta la durata dell'Accordo, salvo diverso accordo scritto.
Categorie di persone interessate
L'Abbonato può inviare Dati personali ai Servizi, la cui entità è determinata e controllata dall'Abbonato a sua esclusiva discrezione, e che possono includere, a titolo esemplificativo ma non esaustivo, Dati personali relativi alle seguenti categorie di persone interessate:
- Partner commerciali e venditori dell'Abbonato (che sono persone fisiche)
- Dipendenti, agenti, consulenti, liberi professionisti dell'Abbonato (che sono persone fisiche)
- Utenti dell'Abbonato autorizzati dall'Abbonato ad utilizzare i Servizi (che sono persone fisiche)
Categorie di Dati personali
L'Abbonato può inviare Dati personali ai Servizi, la cui entità è determinata e controllata dall'Abbonato a sua esclusiva discrezione, e che possono includere, a titolo esemplificativo, le seguenti categorie di Dati personali:
- Dati di localizzazione, Dati ID dell'Abbonato
- Nome e cognome
- Informazioni di contatto (azienda, email, telefono, indirizzo fisico dell'azienda)
- Tutti i Dati personali archiviati dall'Abbonato nell'ambiente cloud di Bentley
- Dati personali dell'Abbonato caricati sui servizi in relazione all'Accordo
Categorie speciali di dati (se del caso)
Non applicabile.
Frequenza del trasferimento
L'utilizzo da parte dell'Abbonato dei Servizi di Bentley durante il periodo di abbonamento comporta il trasferimento continuo dei Dati personali.
Periodi di conservazione
Bentley conserva i Dati personali dell'Abbonato durante il periodo di abbonamento. Nel caso in cui i termini di abbonamento dell'Abbonato terminino, Bentley cessa di trasferire ed elaborare i Dati personali dell'Abbonato e restituisce o elimina tali Dati personali in conformità alle disposizioni di cui al presente DPA.
Trasferimenti a subincaricati
Bentley si avvale di certi subincaricati per la fornitura dei propri Servizi all'Abbonato. A tal fine, tale subincaricato può anche trattare i Dati personali dell'Abbonato. Ulteriori informazioni sulla funzione di questi subincaricati nonché sull'oggetto, sulla natura e sulla durata del Trattamento eseguito da questi subincaricati sono disponibili nel Trust Center di Bentley.
Misure tecniche e organizzative
Bentley adotterà misure di salvaguardia amministrative, fisiche e tecniche per la protezione della sicurezza, della riservatezza e dell'integrità dei Dati personali trattati nell'ambito della fornitura dei Servizi, come dettagliato nel Trust Center di Bentley o altrimenti reso ragionevolmente disponibile da Bentley.
ALLEGATO 3 – SCC-MATRIX
Il presente Allegato 3 si applica solo se Bentley Systems, Incorporated è la parte contrattuale del presente DPA e il Modulo 2 delle Clausole contrattuali standard dell'UE si applica a e tra l'Abbonato e Bentley Systems, Incorporated come definito nella Sezione 1.1 dell'Allegato 1. L'Allegato 3 non si applica se Bentley Systems International Limited è la parte contrattuale del presente DPA.
Il presente Allegato 3 specifica le opzioni selezionabili e le informazioni necessarie sul trasferimento al Paese terzo richieste dalle Clausole contrattuali standard dell'UE.
Modulo 2 delle clausole contrattuali standard dell'UE (Da Titolare del trattamento a Responsabile del trattamento) | Specifica |
| Clausola 7 (Clausola di adesione): Selezione delle opzioni disponibili | L'Esportatore di dati e l'Importatore di dati convengono che qualsiasi entità che non sia parte delle Clausole contrattuali standard dell'UE vi aderirà in qualità di Esportatore di dati o di Importatore di dati in conformità alla Sezione I, Clausola 7 delle Clausole contrattuali standard dell'UE ("Clausola di adesione") solo previa conferma esplicita dell'Esportatore di dati e dell'Importatore di dati. Tale conferma deve avvenire per iscritto. |
| Clausola 9 (a) (Utilizzo di Subincaricati): Selezione delle opzioni disponibili | L'Esportatore di dati e l'Importatore di dati convengono che si applica l'Opzione 2 della Sezione II, Clausola 9.a delle Clausole contrattuali standard dell'UE (autorizzazione generale per l'assunzione di Subincaricati). A tal fine si applica l'articolo 5 del DPA. |
| Clausola 11 (Ricorso): Selezione delle opzioni disponibili | L'Esportatore di dati e l'Importatore di dati convengono che l'opzione di ricorso di cui alla Sezione II, Clausola 11 delle SCC (clausole contrattuali standard) non si applica. |
| Clausola 13 (Vigilanza), Allegato I.C.: Determinazione dell'autorità di controllo competente | Visualizzare le informazioni nell'Allegato 4. |
| Clausola 17 (Legge applicabile): Selezione delle opzioni disponibili | Con la presente, l'Esportatore dei dati e l'Importatore dei dati accettano che si applicano le disposizioni dell'Opzione 1 della Sezione III, Clausola 17 delle Clausole contrattuali standard dell'UE e che le Clausole contrattuali standard dell'UE sono disciplinate dalle leggi dell'Irlanda. |
Clausola 18 (Scelta del foro e della giurisdizione): Selezione delle opzioni disponibili | L'Esportatore di dati e l'Importatore di dati convengono, in conformità alla Sezione III, Clausola 18 delle Clausole contrattuali standard dell'UE, che qualsiasi controversia derivante dalle Clausole contrattuali standard dell'UE sarà sottoposta ai tribunali di Dublino, Irlanda. |
| Allegato I.A.: Informazioni sul nome, l'indirizzo, il ruolo e le attività dell'Esportatore dei dati pertinenti ai dati trasferiti, al nome, alla posizione e ai dati della persona di contatto | Visualizzare le informazioni nell'Allegato 2 e nell'Allegato 4. |
| Allegato I.A.: Data e firma dell'esportatore di dati | La sottoscrizione dell'Accordo sarà considerata come la sottoscrizione delle Clausole contrattuali standard dell'UE e della relativa Appendice come descritto nella Sezione 1.2 dell'Allegato 1. |
| Allegato I.A.: Informazioni sul nome, l'indirizzo, il ruolo e le attività dell'Importatore dei dati pertinenti ai dati trasferiti, al nome, alla posizione e ai dati della persona di contatto | Visualizzare le informazioni nell'Allegato 2 e nell'Allegato 4. |
| Allegato I.A.: Data e firma dell'Importatore di dati | La sottoscrizione dell'Accordo sarà considerata come la sottoscrizione delle Clausole contrattuali standard dell'UE e della sua Appendice come descritto nella Sezione 1.2 dell'Allegato 1. |
| Allegato I.B.: Categorie di persone interessate i cui dati personali sono trasferiti | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.B.: Categorie di dati personali trasferiti | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.B.: Dati sensibili trasferiti (se applicabile) e restrizioni o tutele applicate | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.B.: Frequenza del trasferimento | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.B.: Natura del trattamento | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.B.: Scopo del trasferimento dei dati e ulteriore trattamento | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.B.: Periodo di conservazione dei dati personali, o se ciò non è possibile, i criteri utilizzati per determinare tale periodo | Visualizzare le informazioni nell'Allegato 3. |
| Allegato I.B.: Per il trasferimento al subincaricato: soggetto, natura e durata del trattamento | Visualizzare le informazioni nell'Allegato 2. |
| Allegato I.C.: Identità dell'autorità o delle autorità di controllo competenti in conformità alla clausola 13 | Visualizzare le informazioni nell'Allegato 4. |
| Allegato II: Misure tecniche e organizzative | Visualizzare le informazioni nell'Allegato 2. |
| Allegato III: informazioni sui Subincaricati, tra cui nome, indirizzo, nome del referente, posizione e dettagli di contatto, descrizione del trattamento | Non richiesto in quanto l'opzione 2 della clausola 9.a delle Clausole contrattuali standard dell'UE si applica come specificato nel presente Allegato 3. |
ALLEGATO 4 – DATI DI CONTATTO DELLE PARTI E IDENTIFICAZIONE DELL'AUTORITÀ DI CONTROLLO COMPETENTE
Il presente Allegato 4 si applica solo se Bentley Systems, Incorporated è la parte contrattuale del presente DPA, e il Modulo 2 delle Clausole contrattuali standard dell'UE si applica a e tra l'Abbonato e Bentley Systems, Incorporated come definito nella Sezione 1.1 dell'Allegato 1. L'Allegato 4 non si applica se Bentley Systems International Limited è la parte contrattuale del presente DPA.
Il presente Allegato 4 riporta i dati di contatto dell'Esportatore di dati e dell'Importatore di dati, come richiesto dall'Allegato I delle Clausole contrattuali standard dell'UE, nella misura in cui tali informazioni non siano già specificate nel presente DPA e negli altri Allegati da 1 a 3, nonché l'identità dell'autorità di controllo competente in conformità all'Articolo 13 delle Clausole contrattuali standard dell'UE.
Contatto di Bentley Systems, Incorporated
Responsabile della protezione dei dati: dpo@bentley.com
Referente dell'Abbonato e/o Responsabile della protezione dei dati (se applicabile)
Nome: come specificato nell'Accordo
Posizione, titolo: come specificato nell'Accordo
Informazioni di contatto: come specificato nell'Accordo
Rappresentante dell'Abbonato nell'UE (se applicabile)
Nome: come specificato nell'Accordo
Informazioni di contatto: come specificato nell'Accordo
Identificazione dell'autorità o delle autorità di controllo competenti in conformità con la clausola 13
Nome: autorità di controllo competente nella giurisdizione in cui è stabilita l'esportazione dei dati, come ulteriormente definita nell'Accordo.
ALLEGATO 5 – TERMINI SPECIFICI DELLA GIURISDIZIONE
Australia:
- La definizione di "Leggi e regolamenti sulla protezione dei dati" include gli Australian Privacy Principles (Principi australiani sulla privacy) e l'Australian Privacy Act (Legge australiana sulla privacy) del 1988.
- La definizione di “Dati personali" include “Informazioni personali" come definito nelle Leggi e nei regolamenti sulla protezione dei dati.
Brasile:
- La definizione di "Leggi e regolamenti sulla protezione dei dati" include la Lei Geral de Proteção de Dados ("LGPD").
- La definizione di "Responsabile del Trattamento" include "operatore" come definito nella LGPD.
Canada:
- La definizione di "Leggi e regolamenti sulla protezione dei dati" include la normativa "PIPEDA" (Personal Information Protection and Electronic Documents Act).
- I Subincaricati di Bentley, come descritto nella Sezione 5 (Subincaricati) del presente DPA, sono terze parti ai sensi della normativa PIPEDA, con cui Bentley ha stipulato un contratto scritto che include termini sostanzialmente simili al presente DPA. Bentley ha condotto un'appropriata due diligence sui suoi Subincaricati.
Israele:
- La definizione di "Leggi e regolamenti sulla protezione dei dati" include la Legge sulla tutela della privacy ("PPL").
- La definizione di "Titolare del trattamento" include "Proprietario del database" come definito nella PPL.
- La definizione di “Responsabile del trattamento" include “Titolare" come definito nella PPL.
Giappone:
- La definizione di "Leggi e Regolamenti sulla Protezione dei dati" include la Legge sulla protezione dei dati personali ("APPI").
- La definizione di “Dati personali" include “Informazioni personali" come definito nell'APPI.
- La definizione di “Titolare del Trattamento" include “Operatore commerciale" come definito nell'APPI. In qualità di Operatore commerciale, Bentley è responsabile del trattamento dei dati personali in suo possesso.
- La definizione di "Responsabile del trattamento" include un operatore commerciale incaricato dall'Operatore commerciale di trattare i dati personali in tutto o in parte (detto anche un "fiduciario"), come descritto nell'APPI. In qualità di fiduciario, Bentley si assicurerà che l'uso dei dati personali affidati sia controllato in modo sicuro.
Messico:
- La definizione di "Leggi e regolamenti sulla protezione dei dati" include la Legge federale sulla protezione dei dati personali detenuti da privati e il relativo regolamento (“FLPPIPPE”).
Singapore:
- La definizione di "Leggi e Regolamenti sulla protezione dei dati" comprende il Personal Data Protection Act 2012 ("PDPA"). Bentley tratterà i Dati personali con uno standard di protezione in conformità al PDPA adottando adeguate misure tecniche e organizzative come stabilito nella Sezione 6 (Sicurezza) del presente DPA e conformandosi ai termini dell'Accordo.
Svizzera:
- La definizione di "Leggi e regolamenti sulla protezione dei dati" include la Legge federale svizzera sulla protezione dei dati.
- Quando Bentley ingaggia un Subincaricato ai sensi della Sezione 5 (Subincaricato) del presente DPA, dovrà: (a) richiedere a qualsiasi Subincaricato nominato di proteggere i Dati dell'Abbonato secondo gli standard richiesti dalle Leggi e dai regolamenti in materia di protezione dei dati, tra cui gli stessi obblighi di protezione dei dati di cui all'Articolo 28(3) del RGPD, in particolare fornendo garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del RGPD; e (b) richiedere a qualsiasi Subincaricato nominato di (i) accettare per iscritto di trattare i dati personali solo in un paese che l'Unione Europea ha dichiarato avere un livello di protezione "idoneo" o (ii) trattare i dati personali solo a condizioni equivalenti alle Clausole contrattuali standard dell'UE o ai sensi di un'approvazione delle Norme vincolanti d'impresa concessa dalle autorità competenti per la protezione dei dati dell'Unione Europea.
Regno Unito:
- Le referenze in questo DPA al RGPD saranno considerate in tal senso come riferimenti alle leggi del Regno Unito (incluso il RGPD britannico e il Data Protection Act del 2018).
- Quando Bentley ingaggia un Subincaricato ai sensi della Sezione 5 (Subincaricato) del presente DPA, dovrà: (a) richiedere a qualsiasi Subincaricato nominato di proteggere i Dati dell'Abbonato secondo gli standard richiesti dalle Leggi e dai regolamenti sulla protezione dei dati, tra cui gli stessi obblighi di protezione dei dati di cui all'Articolo 28(3) del RGPD, in particolare fornendo garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del RGPD; e (b) richiedere a qualsiasi Subincaricato nominato di (i) accettare per iscritto di trattare i dati personali solo in un paese che il Regno Unito ha dichiarato avere un livello di protezione "idoneo" o (ii) trattare i dati personali solo a condizioni equivalenti alle Clausole contrattuali standard dell'UE o ai sensi di un'approvazione delle Norme vincolanti d'impresa concessa dalle autorità competenti per la protezione dei dati del Regno Unito.
- Nonostante qualsiasi disposizione contraria contenuta nel presente DPA o nell'Accordo (inclusi, a titolo esemplificativo, gli obblighi di indennizzo di una delle parti), nessuna delle parti sarà responsabile di eventuali multe del RGPD britannico emesse o riscosse ai sensi dell'articolo 83 del RGPD britannico nei confronti dell'altra parte da un'autorità di regolamentazione o di un ente governativo in relazione alla violazione del RGPD del Regno Unito da parte di tale altra parte.
