Trattamento dei dati Addendum

I termini con la maiuscola non definiti qui hanno il significato attribuito nel GDPR (Regulation (EU) 2016/679) e, ove applicabile, nell'UK GDPR / Data Protection Act 2018, nel California Consumer Privacy Act come modificato dal CPRA (“CCPA”) e nelle leggi equivalenti di altre giurisdizioni.

“Dati Personali” indica i dati inviati dal Cliente o generati dal Servizio che identificano o si riferiscono a una persona fisica identificata o identificabile. “Sub-responsabile del trattamento” indica un terzo incaricato da FixVibe di trattare Dati Personali per conto di FixVibe — elencati su /legal/privacy.

Ciascuna parte è indipendentemente responsabile del rispetto delle Leggi sulla protezione dei dati ad essa applicabili. Il Cliente è il Titolare del trattamento e FixVibe è il Responsabile del trattamento dei Dati Personali trattati nell'ambito di questo Addendum. FixVibe tratterà i Dati Personali esclusivamente sulla base delle istruzioni documentate del Cliente (la configurazione del Servizio costituisce tali istruzioni), salvo diverso obbligo di legge.

FixVibe garantisce che il personale autorizzato a trattare Dati Personali sia vincolato da obblighi di riservatezza. L'accesso ai dati di produzione è limitato a un sottoinsieme del personale operativo con privilegi minimi, registrato tramite audit_logs e sottoposto a revisione periodica. I dipendenti di FixVibe accedono ai dati del Cliente solo per gestire ticket di supporto, rispondere a incidenti di sicurezza o adempiere a obblighi di legge.

FixVibe adotta misure tecniche e organizzative adeguate, coerenti con GDPR Art. 32, tra cui:

• cifratura dei Dati Personali in transito (TLS 1.2+) e a riposo (cifratura a livello di disco del database + cifratura mirata a livello di colonna AES-256-GCM per le intestazioni di scansione autenticata e i token OAuth);
• sicurezza a livello di riga forzata su ogni tabella del database — il codice applicativo non può leggere né scrivere oltre i confini organizzativi, nemmeno per errore;
• autenticazione a più fattori per utente tramite il provider OAuth upstream (Google o GitHub) quando il Cliente sceglie l'accesso social;
• analisi statica continua e scansione delle vulnerabilità delle dipendenze della stessa codebase di FixVibe;
• backup tramite il provider del database con recupero point-in-time; testati annualmente;
• periodi di conservazione definiti (vedi Informativa sulla privacy) applicati da un cron automatizzato giornaliero, non una semplice promessa scritta.

Il Cliente autorizza FixVibe a coinvolgere i Sub-responsabili del trattamento elencati nell<linkPrivacy>Informativa sulla privacy</linkPrivacy> per le finalità ivi descritte. FixVibe stipula un contratto scritto con ciascun Sub-responsabile che impone obblighi di protezione dei dati non meno rigorosi di quelli previsti dal presente Addendum, e rimane responsabile nei confronti del Cliente per gli atti e le omissioni del Sub-responsabile in relazione al trattamento dei Dati Personali.

FixVibe notificherà al Cliente (tramite avviso nell'app o e-mail) qualsiasi aggiunta o sostituzione prevista di Sub-responsabili con almeno 30 giorni di anticipo, dando al Cliente l'opportunità di opporsi. Se il Cliente si oppone per ragionevoli motivi di protezione dei dati, può recedere dal Servizio con riferimento al trattamento interessato.

FixVibe tratta i Dati Personali principalmente negli Stati Uniti. Quando i Dati Personali vengono trasferiti dallo SEE, dal UK o dalla Svizzera verso un paese terzo che non ha ricevuto una decisione di adeguatezza, FixVibe si avvale di:

• le Clausole Contrattuali Standard della Commissione europea (Decision (EU) 2021/914), Modulo 2 (titolare a responsabile), incorporate nel presente Addendum per riferimento;
• l'Addendum per il trasferimento internazionale di dati del Regno Unito alle SCCs dell'UE (o l'IDTA autonomo), pubblicato dall'ICO;
• le misure tecniche e organizzative supplementari descritte nella Sezione 4.

Il Cliente autorizza FixVibe a stipulare le SCCs / IDTA con ciascun Sub-responsabile per conto del Cliente.

FixVibe assisterà il Cliente (tenendo conto della natura del trattamento e delle informazioni disponibili) nel rispondere alle richieste degli interessati ai sensi degli Articles 15–22 GDPR. La maggior parte dei diritti è esercitabile in self-service da Account → Privacy; per le richieste residuali, il Cliente può inviare un'e-mail a support@fixvibe.app con oggetto “Privacy request”. Rispondiamo entro 30 giorni.

FixVibe notificherà al Cliente senza ingiustificato ritardo (e comunque entro 72 ore dalla presa di conoscenza) di una violazione dei Dati Personali che coinvolga i Dati Personali del Cliente, fornendo le informazioni di cui il Cliente ha ragionevolmente bisogno per adempiere ai propri obblighi ai sensi dell'Article 33 / 34, compresa la natura della violazione, le categorie e il numero approssimativo di interessati e record coinvolti, le probabili conseguenze e le misure adottate o proposte per porvi rimedio.

FixVibe mette a disposizione del Cliente le informazioni necessarie per dimostrare la conformità al presente Addendum, inclusi questo documento, l'Informativa sulla privacy, la Politica di uso accettabile, i Termini e qualsiasi rapporto di sicurezza di terzi in nostro possesso (li condivideremo sotto NDA su richiesta). FixVibe consentirà e contribuirà agli audit, comprese le ispezioni, condotti dal Cliente o da un altro revisore incaricato dal Cliente, con ragionevole preavviso e durante l'orario lavorativo, non più di una volta per anno solare (salvo diversa richiesta di un'autorità di vigilanza o in caso di violazione dei Dati Personali).

Alla cessazione del Servizio, e a scelta del Cliente, FixVibe cancellerà o restituirà tutti i Dati Personali trattati per suo conto entro 30 giorni, salvo nella misura in cui FixVibe sia obbligato dalla legge applicabile a conservarli (es. documenti fiscali / di fatturazione). Il flusso di cancellazione dell'account in self-service su Account → Privacy avvia questo processo immediatamente.

Ai fini del CCPA, FixVibe è un “Service Provider” e il Cliente è un “Business” con riferimento a qualsiasi Informazione Personale trattata nell'ambito di questo Addendum. FixVibe non:

• venderà né condividerà (secondo le definizioni del CCPA) Informazioni Personali;
• conserverà, utilizzerà né divulgherà Informazioni Personali per finalità diverse dalla specifica finalità commerciale di fornitura del Servizio, nemmeno al di fuori del rapporto commerciale diretto tra FixVibe e il Cliente;
• combinerà Informazioni Personali ricevute dal Cliente con Informazioni Personali ricevute da qualsiasi altra fonte, salvo quanto espressamente consentito dal CCPA.

FixVibe certifica di comprendere e di rispettare queste restrizioni.

In caso di conflitto tra questo Addendum e i Termini di Servizio, questo Addendum prevale nella misura del conflitto. Le SCCs / IDTA prevalgono su entrambi ove applicabili.

Per tutte le questioni relative alla protezione dei dati, incluso l'esercizio dei diritti degli interessati e le richieste relative ai Sub-responsabili, contatta EGO HERO LLC:

• e-mail: support@fixvibe.app (indicare “DPA” nell'oggetto per l'instradamento)
• indirizzo postale: disponibile su richiesta tramite l'e-mail sopra indicata