Couchbase Capella Cloud Trattamento dei dati del cliente Addendum

Il presente Addendum sul trattamento dei dati (il presente "DPA”) forms part of the Capella Cloud Service Subscription Agreement, or other agreement between Customer and Couchbase governing Customer’s use of the Cloud Service (“Accordo"), tra Couchbase, Inc. ("Couchbase") e la parte identificata come "Cliente" nell'Accordo ("Cliente") (ciascuno un "Partito" e, insieme, il "Parti").

Il presente DPA descrive gli impegni delle Parti in merito al trattamento dei Dati Personali in relazione all'utilizzo del Servizio Cloud da parte del Cliente. In caso di conflitto tra i termini del Contratto e i termini del presente DPA, i termini del presente DPA prevarranno nella misura di tale conflitto. Qualsiasi termine in maiuscolo non definito nel presente DPA avrà il significato attribuitogli nel Contratto.

Le Parti concordano quanto segue:

1. Definizioni. I seguenti termini in maiuscolo, quando utilizzati nel presente DPA, avranno il significato corrispondente fornito di seguito:

a. "Leggi sulla protezione dei dati applicabili” means all worldwide privacy and data protection laws, regulations, rules, ordinances and other decrees applicable to the Personal Data, including (but not limited to): (i) European Data Protection Laws; and (ii) all laws and regulations of the United States, including the California Consumer Privacy Act of 2018 (California Civil Code §§ 1798.100 et seq (“CCPA”); as may be amended, superseded or replaced.

b. "Dati del cliente" indica qualsiasi Dato Personale trattato da Couchbase per conto del Cliente in qualità di fornitore di servizi o di incaricato del trattamento (a seconda dei casi) in relazione al Servizio Cloud, come più in particolare descritto nell'Allegato A della presente DPA.

c. "SEE" indica gli Stati membri dell'Unione europea, più l'Islanda, il Liechtenstein e la Norvegia.

d. "Leggi europee sulla protezione dei dati" indica: (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche ("Direttiva e-Privacy"); (iii) qualsiasi implementazione nazionale applicabile di (i) e (ii); (iv) la Legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e la relativa Ordinanza ("L'FDPA svizzero”); and (v) in respect of the United Kingdom, the Data Protection Act 2018 and any applicable national legislation that replaces or converts in domestic law the GDPR, e-Privacy Directive or any other law relating to data and privacy as a consequence of the UK leaving the European Union; in each case as may be amended, superseded or replaced.

e. "Clausole modello” means, depending on the circumstances unique to any particular Customer, any of the following: (i) the standard contractual clauses for processors as approved by the European Commission pursuant to its decision 2021/914 (the “2021 Standard Contractual Clauses”) and (ii) the UK Standard Contractual Clauses, each alternatively referred to as Standard Contractual Clauses, incorporated by reference and forming part of this DPA.

f. "Dati personali” means any information that relates to an identified or identifiable natural person and which is protected as “personal data“, “personal information” or “personally identifiable information” under Applicable Data Protection Laws.

g. "Incidente di sicurezzaPer "Incidente di Sicurezza" si intende qualsiasi violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati del Cliente trasmessi, memorizzati o altrimenti trattati da Couchbase e/o dai suoi Subprocessori in relazione alla fornitura del Servizio Cloud. Le Parti riconoscono e concordano che "Incidente di sicurezza" non include i tentativi o le attività infruttuose che non compromettono la sicurezza dei Dati del Cliente, compresi i tentativi di log-in infruttuosi, i ping, le scansioni delle porte, gli attacchi di negazione del servizio e altri attacchi di rete ai firewall o ai sistemi in rete.

h. "Sottoprocessore" indica qualsiasi elaboratore incaricato da Couchbase o dalle sue Affiliate di assisterla nell'adempimento dei suoi obblighi relativi alla fornitura del Servizio Cloud ai sensi del Contratto o del presente DPA. I subelaboratori possono includere terze parti o Affiliate di Couchbase, ma escludono qualsiasi dipendente, appaltatore o consulente di Couchbase.

i. “UK Standard Contractual Clauses” means (i) standard contractual clauses for data controller to data processor transfers approved by the European Commission in  decision 2010/87/EU (“UK Controller to Processor SCCs”); and (ii) standard contractual clauses for data controller to data controller transfers approved by the European Commission in decision 2004/915/EC (“UK Controller to Controller SCCs").

j. The terms “controllore", "processore" e "processing" hanno il significato loro attribuito nel GDPR, e "processo", "processi" e "elaborato" devono essere interpretati di conseguenza; e i termini "attività commerciale", "fornitore di servizi" e "vendere" hanno il significato loro attribuito nel CCPA.

2. Ruolo e ambito dell'elaborazione

a. Ambito di applicazione. Fatta salva la Sezione 2(b), la presente DPA si applica nella misura in cui Couchbase elabora come processore o fornitore di servizi (a seconda dei casi) qualsiasi Dato del Cliente protetto dalle Leggi Applicabili sulla Protezione dei Dati.

b. Ruolo delle parti. Le parti riconoscono e concordano che (i) per quanto riguarda il trattamento dei Dati del Cliente, il Cliente è l'azienda, il responsabile del trattamento o l'incaricato del trattamento (a seconda dei casi) di tali Dati del Cliente, e Couchbase è un fornitore di servizi, un incaricato del trattamento o un subincaricato (a seconda dei casi) per conto del Cliente, come ulteriormente descritto nell'Allegato A del presente DPA; e (ii) per quanto riguarda i Dati Personali inclusi in qualsiasi dato tecnico di utilizzo che Couchbase raccoglie in relazione all'utilizzo del Servizio Cloud da parte del Cliente ("Dati di utilizzo"), Couchbase è l'azienda pertinente o il responsabile del trattamento dei Dati di Utilizzo e tratterà i Dati di Utilizzo in conformità con l'informativa sulla privacy di Couchbase disponibile all'indirizzo https://www.couchbase.com/privacy-policy. Ciascuna Parte rispetterà tutte le leggi, le norme e i regolamenti ad essa applicabili e vincolanti per l'esecuzione del presente DPA, comprese le Leggi applicabili in materia di protezione dei dati. Per quanto riguarda i Dati di Utilizzo, Couchbase tratterà tali dati in conformità alle sole Sezioni 8(a)(iii) e (iv), nella misura applicabile.

c. Trattamento dei dati personali da parte di Couchbase. Couchbase accetta di trattare i Dati del Cliente solo per le finalità descritte nella DPA e in conformità alle istruzioni lecite e documentate del Cliente. Le parti convengono che il Contratto (compreso il presente DPA) contiene le istruzioni complete e definitive del Cliente a Couchbase in relazione al trattamento dei Dati del Cliente e il trattamento al di fuori dell'ambito di tali istruzioni (se del caso) richiederà un previo accordo scritto tra il Cliente e Couchbase. Fatta salva la Sezione 2(d) (Responsabilità del Cliente), Couchbase notificherà per iscritto al Cliente, a meno che ciò non sia vietato dalle Leggi Applicabili sulla Protezione dei Dati, e potrà sospendere il trattamento dei Dati del Cliente, qualora venga a conoscenza o ritenga che qualsiasi istruzione di trattamento dei dati da parte del Cliente violi le Leggi Applicabili sulla Protezione dei Dati.

d. Responsabilità del cliente. Il Cliente è responsabile della liceità del trattamento dei Dati del Cliente ai sensi del Contratto o in relazione ad esso. Il Cliente dichiara e garantisce che (i) ha fornito, e continuerà a fornire, tutte le notifiche e ha ottenuto, e continuerà ad ottenere, tutti i consensi, i permessi e i diritti necessari ai sensi delle Leggi Applicabili sulla Protezione dei Dati per consentire a Couchbase di trattare legittimamente i Dati del Cliente per le finalità contemplate dal Contratto (incluso il presente DPA); (ii) ha rispettato tutte le Leggi Applicabili sulla Protezione dei Dati in qualità di controllore e/o azienda dei Dati del Cliente per la raccolta e la fornitura a Couchbase e ai suoi Subprocessori di tali Dati del Cliente; e (iii) si assicurerà che le sue istruzioni di trattamento siano conformi alle leggi applicabili (incluse le Leggi Applicabili sulla Protezione dei Dati) e che il trattamento dei Dati del Cliente da parte di Couchbase in conformità alle istruzioni del Cliente non causerà a Couchbase una violazione delle Leggi Applicabili sulla Protezione dei Dati.

e. Dati aggregati. Nonostante quanto precede o qualsiasi altra cosa contraria contenuta nel Contratto (incluso il presente DPA), l'Utente riconosce che Couchbase e le sue Affiliate hanno il diritto di raccogliere e creare informazioni anonime, aggregate e/o de-identificate (come definito dalle Leggi applicabili in materia di protezione dei dati) per le proprie attività legittime.

3. Sottoelaborazione

a. Subprocessori autorizzati. Il Cliente riconosce e accetta che Couchbase possa incaricare dei Subprocessori per il trattamento dei Dati del Cliente per conto del Cliente. I Subprocessori attualmente impegnati da Couchbase e autorizzati dal Cliente sono elencati sul sito web di Couchbase (attualmente pubblicato all'indirizzo https://info.couchbase.com/cloud-subprocessors.html). Almeno quindici (15) giorni prima di qualsiasi aggiunta di un nuovo subprocessore, Couchbase aggiornerà il sito web applicabile e fornirà al Cliente una notifica di tale aggiornamento tramite il meccanismo fornito su tale sito web di Couchbase, ad eccezione del caso in cui Couchbase ritenga ragionevolmente che l'assunzione di un nuovo subprocessore su base accelerata sia necessaria per proteggere la riservatezza, l'integrità o la disponibilità dei Dati del Cliente o per evitare un'interruzione materiale del Servizio Cloud, Couchbase darà invece tale notifica non appena ragionevolmente possibile.

4. Sicurezza e audit

a. Misure di sicurezza.  Couchbase implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere i Dati del Cliente sotto il suo controllo da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento ("Misure di sicurezza"). Tali misure di sicurezza includeranno, come minimo, le misure descritte nell'Allegato B del presente DPA. Couchbase garantirà che qualsiasi persona autorizzata da Couchbase a trattare i Dati del Cliente ai sensi del presente DPA sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o legale).

b. Aggiornamenti delle misure di sicurezza. Il Cliente riconosce che le Misure di Sicurezza sono soggette al progresso tecnico e allo sviluppo e che Couchbase può aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva del Servizio Cloud acquistato dal Cliente.

c. Responsabilità della sicurezza del cliente. Fermo restando quanto sopra, il Cliente conviene che, salvo quanto previsto dal presente DPA, il Cliente implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente mentre sono sotto il suo dominio e controllo. Il Cliente è responsabile di (i) proteggere la sicurezza di tutte le credenziali del Cliente utilizzate per accedere al Servizio Cloud; (ii) proteggere l'Ambiente Cloud del Cliente e qualsiasi Sistema del Cliente (con tali misure che includono, a titolo esemplificativo e non esaustivo, la rotazione regolare delle chiavi di accesso e altre misure standard del settore per impedire l'accesso non autorizzato); (iii) il backup e la messa in sicurezza dei Dati del Cliente sotto il controllo del Cliente all'interno dell'Ambiente Cloud del Cliente o di altri sistemi controllati dal Cliente; e (iv) la revisione delle informazioni rese disponibili da Couchbase relative alla sicurezza dei dati e alla privacy e la determinazione indipendente del fatto che il Servizio Cloud soddisfi i requisiti e gli obblighi legali del Cliente ai sensi della Legge Applicabile sulla Protezione dei Dati.

d. Risposta agli incidenti di sicurezza. To the extent required by Applicable Data Protection Laws, upon becoming aware of a Security Incident, Couchbase shall notify Customer without undue delay and shall: (i) to assist Customer in relation to any personal data breach notifications Customer is required to make under Applicable Data Protection Laws, Couchbase will include in such notice to Customer timely information relating to the Security Incident as it becomes known, as is reasonably requested by Customer, taking into account the nature of the Cloud Service, the information available to Couchbase, and any restrictions on disclosing the information, such as confidentiality; and (ii) promptly take steps, deemed necessary and reasonable by Couchbase, to contain, investigate, and remediate any Security Incident, to the extent that the remediation is within Couchbase’s reasonable control.  Couchbase’s notification of or response to a Security Incident under this Section 4(d) shall not be construed as an acknowledgment by Couchbase of any fault or liability with respect to the Security Incident. The obligations set forth herein shall not apply to Security Incidents to the extent they are caused by Customer or its Authorized Users.

e. Audit di sicurezza. Couchbase fornirà risposte scritte (su base confidenziale) a tutte le ragionevoli richieste scritte di informazioni fatte dall'Acquirente relative al trattamento dei Dati dell'Acquirente da parte di Couchbase, comprese le risposte a questionari di sicurezza delle informazioni e di audit necessari per confermare la conformità di Couchbase alla presente DPA, a condizione che l'Acquirente non eserciti tale diritto più di una volta in un periodo mobile di dodici (12) mesi. Fermo restando quanto sopra, l'Acquirente può anche esercitare tale diritto di audit nel caso in cui gli venga espressamente richiesto o imposto di fornire tali informazioni a un'autorità di protezione dei dati, o Couchbase abbia subito un Incidente di Sicurezza, o su un'altra base ragionevolmente simile.

5. Trasferimenti internazionali

a. Luoghi di lavorazione. Il Cliente riconosce e accetta che Couchbase possa trasferire ed elaborare i Dati del Cliente negli Stati Uniti e in qualsiasi altra parte del mondo in cui Couchbase, le sue Affiliate o i suoi Subprocessori effettuano operazioni di elaborazione dati. Couchbase garantirà in ogni momento che tali trasferimenti siano effettuati in conformità ai requisiti delle Leggi applicabili in materia di protezione dei dati e della presente DPA.

6. Deletion of Customer Data

a. Il Servizio Cloud fornirà al Cliente controlli che il Cliente potrà utilizzare per cancellare o recuperare i Dati del Cliente durante il periodo di validità in modo coerente con la funzionalità del Servizio Cloud.

b. Customer hereby authorizes Couchbase, upon termination or expiry of the Agreement, or in case of termination or suspension of the Cloud Service pursuant to the Agreement, to delete all Customer Data (including copies) in its possession or control in accordance with the Agreement, save that this requirement shall not apply to the extent Couchbase is required by applicable law to retain some or all of the Customer Data.

7. Diritti dei singoli e cooperazione

a. Richieste dell'interessato. Il Servizio Cloud fornisce al Cliente una serie di controlli, tra cui caratteristiche e funzionalità di sicurezza, che il Cliente può utilizzare per recuperare, correggere, cancellare o limitare i Dati del Cliente, come descritto in qualsiasi documentazione applicabile al Servizio Cloud. Fatto salvo quanto previsto dalla Sezione 4(a), il Cliente può utilizzare tali controlli come misure tecniche e organizzative per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati, inclusi i suoi obblighi relativi alla risposta alle richieste degli interessati. Nella misura in cui l'Acquirente non sia in grado di accedere autonomamente ai relativi Dati dell'Acquirente all'interno del Servizio Cloud, Couchbase, tenendo conto della natura del trattamento, fornirà una ragionevole cooperazione per assistere l'Acquirente a rispondere a qualsiasi richiesta da parte di persone o autorità di protezione dei dati applicabili in relazione al trattamento dei Dati dell'Acquirente ai sensi del Contratto. Nel caso in cui tali richieste siano rivolte direttamente a Couchbase, Couchbase non risponderà direttamente a tale comunicazione senza la preventiva autorizzazione del Cliente, a meno che non sia legalmente obbligata a farlo. Se Couchbase è tenuta a rispondere a tale richiesta, Couchbase lo comunicherà prontamente al Cliente e gli fornirà una copia della richiesta, a meno che non sia legalmente vietato.

b. Ordini di comparizione e ordinanze del tribunale. Se un ente preposto all'applicazione della legge invia a Couchbase una richiesta di Dati del Cliente (ad esempio, attraverso un mandato di comparizione o un'ordinanza del tribunale), Couchbase darà al Cliente un ragionevole preavviso della richiesta per consentirgli di richiedere un ordine di protezione o altro rimedio appropriato, a meno che a Couchbase non sia legalmente vietato farlo.

8. Termini specifici per la giurisdizione

a. Europa. Nella misura in cui i Dati del cliente sono soggetti alle leggi europee sulla protezione dei dati, i seguenti termini si applicano in aggiunta ai termini contenuti nel resto del presente DPA:

i. Obblighi del subprocessore. Couchbase dovrà: (A) stipulare un accordo scritto con ciascun Subprocessore che imponga termini di protezione dei dati che richiedano al Subprocessore di proteggere i dati personali secondo gli standard richiesti dalla legge europea sulla protezione dei dati e dal presente DPA; e (B) rimanere responsabile della propria conformità agli obblighi del presente DPA e di qualsiasi atto o omissione del Subprocessore che provochi la violazione da parte di Couchbase di uno qualsiasi dei suoi obblighi ai sensi del presente DPA.

ii. Obiezioni ai subprocessori. Il Cliente può opporsi per iscritto alla nomina da parte di Couchbase di un nuovo Subprocessore per ragionevoli motivi legati alla protezione dei dati (ad esempio, se la messa a disposizione dei Dati del Cliente al Subprocessore può violare la legge europea sulla protezione dei dati o indebolire le protezioni per tali Dati del Cliente), comunicandolo tempestivamente per iscritto a Couchbase entro cinque (5) giorni di calendario dal ricevimento della comunicazione da parte di Couchbase ai sensi della Sezione 3(a) di cui sopra. Tale comunicazione spiegherà i ragionevoli motivi dell'obiezione e le parti discuteranno tali preoccupazioni in buona fede al fine di raggiungere una risoluzione commercialmente ragionevole. Se non è possibile raggiungere tale risoluzione, Couchbase, a sua esclusiva discrezione, non nominerà il Subprocessore, oppure consentirà al Cliente di sospendere o terminare il Servizio Cloud interessato in conformità alle disposizioni di risoluzione del Contratto senza alcuna responsabilità per entrambe le parti (ma senza pregiudicare eventuali spese sostenute dal Cliente prima della sospensione o della terminazione). A meno che non venga sollevata un'obiezione come indicato nella presente Sezione 8(a)(ii), il Cliente acconsente all'utilizzo da parte di Couchbase di subprocessori come descritto nel presente DPA.

iii. Trasferimenti di dati. To the extent that Couchbase processes (or causes to be processed) any personal data protected by European Data Protection Laws in a third country not recognised as providing adequate protection for personal data (as described in European Data Protection Laws), then the terms and conditions of Annex C (Trasferimenti di dati) will apply and Customer (as data exporter) will be deemed to have entered into the Model Clauses with Couchbase (as data importer) and Couchbase agrees to abide by and process such Customer Data in in compliance with the Model Clauses, which are incorporated in full by reference and form an integral part of this DPA. For the purposes of the descriptions in the Model Clauses: (A) Couchbase agrees that it is a “data importer” and Customer is the “data exporter” (notwithstanding that Customer may itself be an entity located outside the EEA or the United Kingdom); (B) Annex A and Annex B of this DPA shall replace Appendix 1 and Appendix 2 of the Model Clauses. It is not the intention of either party, nor the effect of this DPA, to contradict or restrict any of the provisions set forth in the Model Clauses. Accordingly, if and to the extent the Model Clauses conflict with any provision of this DPA, the Model Clauses shall prevail to the extent of such conflict. The Model Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the EEA or the United Kingdom.

iv. Meccanismo di trasferimento alternativo. Se e nella misura in cui Couchbase adotta una soluzione alternativa di esportazione dei dati per il trasferimento dei Dati del Cliente come prescritto dalle leggi europee sulla protezione dei dati applicabili ("Meccanismo di trasferimento alternativo"), si applicherà invece il Meccanismo di Trasferimento Alternativo (ma solo nella misura in cui tale Meccanismo di Trasferimento Alternativo si applica al trasferimento).

v. Valutazione d'impatto sulla protezione dei dati. Nella misura in cui Couchbase è tenuta a farlo ai sensi della legge europea sulla protezione dei dati, Couchbase fornirà le informazioni ragionevolmente richieste in merito al trattamento dei dati personali da parte di Couchbase ai sensi del Contratto per consentire al Cliente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preliminari con le autorità di vigilanza come richiesto dalla legge.

b. California. Nella misura in cui i Dati del Cliente sono soggetti alla CCPA, le parti concordano che il Cliente è un'azienda e che nomina Couchbase come suo fornitore di servizi per trattare i Dati del Cliente come consentito dal Contratto (inclusa la presente DPA) e dalla CCPA, o per scopi altrimenti concordati per iscritto (la "Scopi consentiti"). Il Cliente e Couchbase convengono che: (i) Couchbase non conserverà, utilizzerà o divulgherà le informazioni personali per scopi diversi da quelli consentiti; (ii) i Dati del Cliente non sono stati venduti a Couchbase e Couchbase non "venderà" le informazioni personali (come definite dal CCPA); (iii) Couchbase non conserverà, utilizzerà o divulgherà le informazioni personali al di fuori del rapporto commerciale diretto tra il Cliente e Couchbase; e (iv) Couchbase può de-identificare o aggregare le informazioni personali nel corso della fornitura del Servizio Cloud. Couchbase certifica di aver compreso le restrizioni di cui alla presente Sezione 8(b) e che le rispetterà.

9. Limitazione di responsabilità

a. Each Party’s and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA (including the Model Clauses) whether in contract, tort (including negligence) or under any other theory of liability, shall be subject to the limitations and exclusions of liability in the Agreement, and any reference in provisions to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together.

b. Fatta eccezione per i casi in cui le Leggi applicabili in materia di protezione dei dati richiedono che un Affiliato del Cliente eserciti direttamente un diritto o chieda un rimedio ai sensi del presente DPA nei confronti di Couchbase, le parti convengono che (i) solo l'entità del Cliente che è la parte contraente del Contratto eserciterà qualsiasi diritto o chiederà un rimedio che qualsiasi Affiliato del Cliente può avere ai sensi del presente DPA per conto dei suoi Affiliati, e (ii) il Cliente che è la parte contraente del Contratto eserciterà qualsiasi diritto ai sensi del presente DPA non separatamente per ogni Affiliato individualmente ma in modo combinato per tutti i suoi Affiliati insieme.

10. Varie

a. Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect.

b. This DPA may be executed in counterparts, each of which will be deemed an original, but all of which together will constitute one and the same instrument.

c. If any provision or part-provision of this DPA is or becomes invalid, illegal or unenforceable, it shall be deemed deleted, but that shall not affect the validity and enforceability of the rest of the DPA.

d. Il presente DPA sarà disciplinato e interpretato in conformità alle disposizioni in materia di legge e giurisdizione contenute nell'Accordo, a meno che non sia richiesto diversamente dalle leggi europee sulla protezione dei dati.

Il presente Allegato A fa parte del DPA e descrive (i) il trattamento che Couchbase effettuerà sui Dati del Cliente in qualità di incaricato o subincaricato per conto del Cliente in qualità di responsabile o incaricato del trattamento, a seconda dei casi, e (ii) i trasferimenti dei Dati di utilizzo che Couchbase effettuerà in qualità di responsabile del trattamento.

1) Dati del cliente

Durata .

La durata del trattamento dei dati ai sensi del presente DPA è fino alla cessazione dell'Accordo in conformità ai suoi termini più il periodo dalla scadenza dell'Accordo fino alla cancellazione dei dati personali da parte di Couchbase in conformità ai termini dell'Accordo (compreso il presente DPA).

Categorie di dati

I dati personali da trattare riguardano le seguenti categorie di dati (specificare):

● Personal Data in Customer Content: Dati Personali inclusi in contenuti o dati forniti da o per conto del Cliente o degli Utenti Autorizzati da o attraverso il Servizio Cloud.

Categorie particolari di dati (se del caso)

Le parti non intendono trattare dati di categoria speciale nell'ambito dell'accordo.

Soggetti interessati

I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):

I soggetti interessati comprendono le persone fisiche i cui dati sono forniti a Couchbase tramite il Servizio Cloud da o su indicazione del Cliente, compresi gli Utenti Autorizzati. I soggetti interessati possono includere clienti, dipendenti, fornitori e utenti finali del Cliente.

Operazioni di lavorazione

I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):
● l'elaborazione per fornire il Servizio Cloud in conformità con il Contratto;
● l'elaborazione per eseguire qualsiasi operazione necessaria per l'esecuzione del Contratto;
● l'elaborazione avviata dal Cliente nell'utilizzo del Servizio Cloud; e
● processing to comply with other reasonable instructions provided by Customer (e.g. via email or support tickets) that are consistent with the terms of the Agreement.

Frequenza
I dati personali possono essere trasferiti in modo continuativo.

ii) Usage Data

Durata

I Dati di utilizzo sono trasferiti e conservati per la durata del relativo Contratto più il periodo in cui i Dati di utilizzo sono necessari per i legittimi sforzi commerciali di Couchbase. Alcuni record aggregati e anonimizzati delle azioni degli utenti possono essere conservati in modo permanente.

Categorie di dati

I dati personali da trasferire riguardano le seguenti categorie di dati (specificare):

●  Dati Personali in Dati di Utilizzo: I Dati di utilizzo possono includere informazioni sull'account dell'utente, tra cui l'ID dell'account e l'indirizzo e-mail; informazioni di identificazione personale, tra cui l'indirizzo IP; informazioni sull'occupazione; informazioni di contatto; informazioni sul browser e metadati.

Categorie particolari di dati (se del caso)

Le parti non intendono trasferire alcun dato di categoria speciale nell'ambito dell'Accordo.

Soggetti interessati

I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):

I soggetti interessati possono essere il Cliente, i suoi dipendenti e gli altri Utenti Autorizzati e qualsiasi altro collaboratore autorizzato.

Operazioni di lavorazione

I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):

●  processing to provide and administer the products, services and support;
Elaborazione per ricavare informazioni utili a migliorare i prodotti, i servizi e l'assistenza e a sostenere lo sviluppo del business;
Elaborazione per coinvolgere e rispondere alle domande dei clienti, svolgere attività di marketing e vendita e analizzare i metadati aziendali.

Frequenza

I dati personali possono essere trasferiti in modo continuativo.

Il presente Allegato descrive le Misure di Sicurezza di Couchbase. Il Cliente riconosce che il Servizio Cloud opera secondo un modello di responsabilità condivisa, che richiede, tra l'altro, che il Cliente adotti determinate misure quali la protezione della sicurezza del Contenuto del Cliente (che rimane memorizzato all'interno dell'ambiente del Cliente sotto il suo controllo). Se e nella misura in cui Couchbase tratta i Dati del Cliente per conto del Cliente in relazione al Servizio Cloud o trasferisce qualsiasi Dato d'Uso soggetto alle Clausole Contrattuali Standard, Couchbase implementa e mantiene le seguenti Misure di Sicurezza:

Misure di crittografia dei dati

Tutti i dati dei clienti vengono crittografati durante il transito con TLS 1.2 (o superiore) e a riposo con crittografia AES-256.
I computer portatili dei dipendenti sono criptati utilizzando la crittografia AES-256 su tutto il disco.
Tutte le credenziali sono crittografate in transito utilizzando TLS 1.2 (o superiore) e crittografate a riposo.
● Encryption keys are rotated on an annual basis and are stored and managed in AWS Key Management Service.

Misure di disponibilità e recuperabilità

Couchbase mantiene piani e procedure di Disaster Recovery e Business continuity che sono progettati per garantire ragionevolmente la disponibilità del Servizio Cloud.
L'offerta Couchbase Capella è distribuita in data center distribuiti geograficamente e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).
La ridondanza è integrata nell'infrastruttura di sistema che supporta l'offerta Couchbase Capella. In caso di guasto di un sistema primario, l'infrastruttura ridondante in un'altra zona di disponibilità è configurata per prendere il suo posto.
I backup sono archiviati in ambienti controllati all'interno dell'infrastruttura cloud. L'accesso logico ai dati di backup è limitato al personale appropriato ed è memorizzato in archivi ad alta disponibilità.
Su base annuale, viene eseguito un test di ripristino del backup in cui il personale operativo ripristina un backup da un'istantanea per garantire che i dati possano essere ripristinati in caso di incidente.

Misure di sicurezza organizzative

Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.
I dipendenti sono tenuti a seguire corsi di formazione contro la corruzione, l'etica e il codice di condotta, l'insider trading, la privacy dei dati globali e la sensibilizzazione annuale sulla sicurezza.
I dipendenti sono tenuti a firmare accordi di non divulgazione e riservatezza al momento dell'assunzione.
Sono in vigore politiche e procedure formali per le attività di inserimento e disinserimento dei dipendenti. Sono stati definiti e implementati i processi di provisioning e de-provisioning degli account.
L'accesso dei dipendenti viene rimosso al momento della cessazione del rapporto di lavoro o regolato in base alle esigenze di cambiamento di ruolo.
L'autenticazione a più fattori (MFA) è applicata per l'accesso alle risorse critiche e di produzione.
I requisiti di complessità delle password sono rispettati.
La segregazione delle responsabilità e delle mansioni viene attuata per ridurre le opportunità di modifiche o usi impropri non autorizzati o non intenzionali.
Couchbase mantiene accordi di non divulgazione firmati con terze parti.
Le reti Couchbase sono segregate in base ai livelli di fiducia e protette da firewall.

Misure di registrazione e monitoraggio

È abilitata la registrazione delle attività degli utenti, delle eccezioni, dei guasti e degli eventi di sicurezza delle informazioni. I registri vengono conservati, se necessario.
Tutti i registri possono essere consultati solo dai dipendenti autorizzati di Couchbase e sono previsti controlli di accesso per impedire l'accesso non autorizzato.
L'accesso in scrittura ai dati di registrazione è severamente vietato. Le strutture di registrazione e le informazioni di registro sono protette da manomissioni e accessi non autorizzati mediante l'uso di controlli di accesso e misure di sicurezza.
Couchbase dispone di diverse misure di monitoraggio per generare avvisi di sicurezza e identificare attività irregolari.
Il team operativo di Couchbase Capella esamina regolarmente gli avvisi di sicurezza e la loro configurazione sottostante per garantire che funzionino come previsto e che i controlli vengano modificati in base al cambiamento delle condizioni.

Misure di controllo degli accessi

Couchbase implementa le migliori pratiche di sicurezza e utilizza un'architettura di sicurezza basata sui ruoli nei livelli del database, della rete e delle applicazioni e segue rigorosamente i principi del minimo privilegio quando concede l'accesso ai sistemi chiave.
Couchbase ha definito funzioni e ruoli per supportare una corretta segregazione dei compiti.
L'accesso agli ambienti operativi, di produzione e di disaster recovery è protetto dall'uso di account utente univoci, da password forti, dall'uso dell'autenticazione a più fattori (MFA), dall'accesso basato sui ruoli e dal principio dei minimi privilegi.
Le chiavi di accesso utilizzate dalle applicazioni Couchbase di produzione (ad esempio, le chiavi di accesso AWS) sono accessibili solo al personale autorizzato. Vengono ruotate (cambiate) in base alle esigenze (ad esempio, in seguito a un avviso di sicurezza o a un'uscita del personale) e almeno ogni anno.
L'attività dell'utente negli ambienti operativi, compresi l'accesso, la modifica o la cancellazione dei dati, viene registrata.
Le richieste di autorizzazione e il provisioning vengono registrati, monitorati e verificati.
I Web Application Firewall (WAF), oltre ai firewall basati sulla rete, vengono implementati.

Misure di sicurezza fisica

L'offerta Couchbase Capella è distribuita in data center distribuiti geograficamente e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).
L'accesso fisico a tutte le strutture contenenti dati sensibili è limitato e gestito.
Tutte le strutture per le risorse informative (ad esempio, armadi di rete e magazzini) sono protette fisicamente in proporzione alla criticità o all'importanza della loro funzione.
L'accesso alle strutture delle risorse informative è consentito solo al personale aziendale e agli appaltatori le cui responsabilità lavorative richiedono l'accesso a tali strutture.
Tutte le strutture di risorse informative che consentono l'accesso ai visitatori sono configurate per tracciare l'accesso dei visitatori con un registro di accesso.
I registri degli accessi e i registri dei visitatori per le strutture delle risorse informative sono conservati per una revisione di routine in base alla criticità delle risorse informative protette.
Le apparecchiature sono protette per ridurre i rischi derivanti da minacce ambientali, pericoli e possibilità di accesso non autorizzato.

Configurazioni di sistema sicure

Couchbase dispone di una politica e di una procedura di gestione delle modifiche.
Couchbase monitora le modifiche apportate ai sistemi in esame per garantire che venga seguito il processo standard applicabile e per mitigare qualsiasi rischio di modifiche non rilevate alla produzione. Le modifiche sono tracciate nel sistema di gestione delle modifiche.
La politica e le procedure di controllo degli accessi sono in atto per impedire modifiche non autorizzate.
I controlli per la gestione dei dispositivi mobili sono attivi.

La governance

Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.
Couchbase dispone di una politica di sicurezza delle informazioni documentata e approvata, compresa la documentazione di supporto.
L'autorità e la responsabilità di gestire il programma di sicurezza delle informazioni di Couchbase sono state delegate al Gruppo Sicurezza e Conformità delle Informazioni, che è autorizzato dall'alta direzione a intraprendere le azioni necessarie per stabilire, implementare e gestire il programma di sicurezza delle informazioni di Couchbase.

Conformità

Couchbase è sottoposto a verifica da parte di un revisore indipendente e ha ottenuto la conformità SOC 2 Tipo 1, che attesta il nostro impegno nei confronti dei controlli che salvaguardano la riservatezza e la disponibilità delle informazioni memorizzate ed elaborate nel servizio Couchbase Capella.

Accesso minimo ai dati

Vengono effettuate valutazioni sulla privacy in relazione all'implementazione di nuovi prodotti/servizi e al trattamento dei dati personali da parte di terzi.
La raccolta dei dati è limitata alle finalità del trattamento (o ai dati che il cliente sceglie di fornire).
Le misure di sicurezza sono in atto per fornire solo la quantità minima di accesso necessaria per svolgere le funzioni richieste.
● Vengono identificati i requisiti di conservazione dei dati
L'accesso ai dati personali è limitato al personale coinvolto nel trattamento, secondo il principio della "necessità di sapere" e in base ai ruoli e alle responsabilità definiti delle persone.

Misure di responsabilità

Le valutazioni sulla privacy dei clienti sono necessarie quando si introduce un nuovo prodotto/servizio che comporta il trattamento di dati personali.
Le valutazioni d'impatto sulla protezione dei dati fanno parte di ogni nuova iniziativa di trattamento.

Richieste di accesso ai dati

Gli interessati possono richiedere l'esportazione dei propri dati personali in un formato standard.
● Esistono processi che consentono alle persone di esercitare i propri diritti in materia di privacy (ad esempio, il diritto alla cancellazione o alla portabilità dei dati), come descritto nell'Informativa sulla privacy di Couchbase, disponibile al pubblico.

Couchbase continuerà ad analizzare la recente guida del Comitato europeo per la protezione dei dati sulle misure supplementari per soddisfare il requisito di adeguatezza del GDPR, e qualsiasi altro documento emesso dalle autorità europee per la protezione dei dati che si presenterà.

Il presente Allegato stabilisce i termini e le condizioni che si applicano quando l'uso del Servizio Cloud da parte del Cliente richiede un meccanismo di trasferimento successivo per trasferire legalmente i dati personali da una giurisdizione a Couchbase situata al di fuori di tale giurisdizione.

1. UK Standard Contractual Clauses.  For data transfers from the United Kingdom that are subject to the UK Standard Contractual Clauses, the UK Standard Contractual Clauses will be deemed entered into (and incorporated into this DPA by reference) and completed as follows:

a. The UK Controller to Processor SCCs will apply where Couchbase is processing Customer Data.  The illustrative indemnification clause will not apply.  Annex A serves as Appendix 1 of the UK Controller to Processor SCCs.  Annex B serves as Appendix 2 of the UK Controller to Processor SCCs. Annex D sets out Couchbase’s and Customer’s interpretation of their respective obligations under specific clauses of the UK Controller to Processor SCCs, as applicable.

b. The UK Controller to Controller SCCs will apply where Couchbase is transferring Usage Data.  In Clause II(h), Couchbase will transfer personal data in accordance with the data processing principles set forth in Annex A of the UK Controller to Controller SCCs.  The illustrative commercial clause will not apply. Schedule A of this DPA serves as Annex B of the UK Controller to Controller SCCs.

2. The 2021 Standard Contractual Clauses.  Per i trasferimenti di dati soggetti al GDPR e/o all'IFPD svizzero, le Clausole Contrattuali Standard 2021 si applicano nel modo seguente:

a. Il Modulo Uno (da controllore a controllore) si applicherà nel caso in cui il Cliente sia un controllore dei Dati di Utilizzo e Couchbase sia un controllore dei Dati di Utilizzo.

b. Il Modulo Due (Controller to Processor) si applicherà nel caso in cui l'Utente sia un controller dei Dati dell'Utente e Couchbase sia un processore dei Dati dell'Utente;

c. Il Modulo Tre (da elaboratore a elaboratore) si applicherà nel caso in cui l'Acquirente sia un elaboratore dei Dati dell'Acquirente e Couchbase sia un sub-elaboratore dei Dati dell'Acquirente;

d. Per ogni modulo, se applicabile:
(i) in Clause 7, the optional docking clause will apply;
(ii) nella Clausola 9, si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al subprocessore sarà quello stabilito nella Sezione 3 (Subprocessing) del presente DPA;
(iii) nella clausola 11, la lingua opzionale non si applica;
(iv) in Clause 17 (Option 1), the 2021 Standard Contractual Clauses will be governed by the law of the EU member state in which the Data Exporter is established, and if no such law, Irish law.
(v) in Clause 18(b), disputes will be resolved before the courts of the EU member state in which the Data Exporter is established, and if no such law, the courts of the Republic of Ireland.
(vi) Nell'allegato I, parte A:

Data Exporter:  Il Cliente e le sue affiliate autorizzate.

Contact Details:  L'indirizzo o gli indirizzi e-mail del Cliente specificati come account per ricevere le comunicazioni nell'ambito del Servizio Cloud.

Data Exporter Role:  Customer is the controller or processor of Customer Data, as applicable, and controller of Usage Data

Signature & Date:  By entering into the Agreement, Data Exporter is deemed to have signed these Standard Contractual Clauses incorporated herein, including their Annexes, as of the Effective Date of the Agreement.

Data Importer:  Couchbase, Inc.

Contact Details: Couchbase Legal Team – legal@couchbase.com

Data Importer Role: Couchbase is the processor or sub-processor of Customer Data, as applicable, and controller of Usage Data

Signature & Date: By entering into the Agreement, Data Importer is deemed to have signed these Standard Contractual Clauses, incorporated herein, including their Annexes, as of the Effective Date of the Agreement.

(vii) Nell'allegato I, parte B:
Le categorie di soggetti interessati sono descritte nell'Allegato A della presente DPA.

I dati sensibili trasferiti sono descritti nell'Allegato A del presente DPA.

La frequenza del trasferimento è continua per tutta la durata del Contratto.

La natura del trattamento è descritta nell'Allegato A del presente DPA.

Le finalità del trattamento sono descritte nell'Allegato A della presente DPA.

La durata del trattamento è descritta nell'Allegato A della presente LPD.

Per i trasferimenti a subelaboratori, l'oggetto, la natura e la durata del trattamento sono indicati in https://info.couchbase.com/cloud-subprocessors.html

(viii) In Annex I, Part C: The supervisory authority of the EU member state specified in Section 3(d)(iv) above shall act as competent supervisory authority.

(ix) Schedule 2 serves as Annex II of the Standard Contractual Clauses.

4. Termini in conflitto. In caso di conflitto tra le Clausole contrattuali standard e qualsiasi altro termine del presente DPA, prevarranno le disposizioni delle Clausole contrattuali standard.

This Annex sets out the parties’ interpretation of their respective obligations under specific clauses of the UK Controller to Processor SCCs (also referred to as the Clauses), identified below. Where a party complies with the interpretations set out in this Annex, that party shall be deemed by the other party to have complied with its commitments under the Clauses.
For the purposes of this Annex, “DPA” means the Data Processing Addendum in place between data importer and data exporter and to which these Clauses are incorporated and “Agreement” shall have the meaning given to it in the DPA.

Clause 4(h) and 8: Disclosure of these Clauses

1. Data exporter agrees that these Clauses constitute data importer’s Confidential Information as that term is defined in the Agreement and may not be disclosed by data exporter to any third party without data importer’s prior written consent unless permitted pursuant to the Agreement. This shall not prevent disclosure of these Clauses to a data subject pursuant to Clause 4(h) or a supervisory authority pursuant to Clause 8.

Clause 5(a): Suspension of data transfers and termination:

1. The parties acknowledge that data importer may process the personal data only on behalf of the data exporter and in compliance with its instructions as provided by the data exporter and the Clauses.

2. The parties acknowledge that if data importer cannot provide such compliance for whatever reason, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract.

3. If the data exporter intends to suspend the transfer of personal data and/or terminate these Clauses, it shall endeavour to provide notice to the data importer and provide data importer with a reasonable period of time to cure the non-compliance (“Periodo di cura").

4. If after the Cure Period the data importer has not or cannot cure the non-compliance then the data exporter may suspend or terminate the transfer of personal data immediately. The data exporter shall not be required to provide such notice in instances where it considers there is a material risk of harm to data subjects or their personal data.

Clause 5(f): Audit:

1. Data exporter acknowledges and agrees that it exercises its audit right under Clause 5(f) by instructing data importer to comply with the audit measures described in Section 4 (Security and Audits) of the DPA.

Clause 5(j): Disclosure of sub-processor agreements

1. The parties acknowledge the obligation of the data importer to send promptly a copy of any onward sub-processor agreement it concludes under the Clauses to the data exporter.

2. The parties further acknowledge that, pursuant to sub-processor confidentiality restrictions, data importer may be restricted from disclosing onward sub-processor agreements to data exporter. Notwithstanding this, data importer shall use reasonable efforts to require any sub-processor it appoints to permit it to disclose the sub-processor agreement to data exporter.

3. Even where data importer cannot disclose a sub-processor agreement to data exporter, the parties agree that, upon the request of data exporter, data importer shall (on a confidential basis) provide all information it reasonably in connection with such subprocessing agreement to data exporter.

Clause 6: Liability

1. Any claims brought under the Clauses shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement. In no event shall any party limit its liability with respect to any data subject rights under these Clauses.

Clause 11: Onward subprocessing

1. The parties acknowledge that, pursuant to FAQ II.1 in Article 29 Working Party Paper WP 176 entitled “FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC” the data exporter may provide a general consent to onward subprocessing by the data importer.

2. Accordingly, data exporter provides a general consent to data importer, pursuant to Clause 11 of these Clauses, to engage onward sub-processors. Such consent is conditional on data importer’s compliance with the requirements set out in Section 8(a) of the DPA.