Couchbase Capella Cloud Trattamento dei dati del cliente Addendum

Il presente Addendum sul trattamento dei dati (il presente "DPA") fa parte del Contratto di Servizio Capella Master, o di altro accordo tra il Cliente e Couchbase che regola l'utilizzo del Servizio Cloud da parte del Cliente ("Accordo"), tra Couchbase, Inc. ("Couchbase") e la parte identificata come "Cliente" nell'Accordo ("Cliente") (ciascuno un "Partito" e, insieme, il "Parti"). La data di entrata in vigore del presente DPA è la data di entrata in vigore del Contratto o, se eseguito separatamente, la data dell'ultima firma in calce ("Data di entrata in vigore").

Il presente DPA descrive gli impegni delle Parti in merito al trattamento dei Dati Personali in relazione all'utilizzo del Servizio Cloud da parte del Cliente. In caso di conflitto tra i termini del Contratto e i termini del presente DPA, i termini del presente DPA prevarranno nella misura di tale conflitto. Qualsiasi termine in maiuscolo non definito nel presente DPA avrà il significato attribuitogli nel Contratto.

Il presente Accordo è stato aggiornato l'ultima volta il 26 settembre 2022.

Le Parti concordano quanto segue:

1. Definizioni. I seguenti termini in maiuscolo, quando utilizzati nel presente DPA, avranno il significato corrispondente fornito di seguito:
a. "Leggi sulla protezione dei dati applicabili" indica tutte le leggi, i regolamenti, le norme, le ordinanze e gli altri decreti mondiali sulla privacy e sulla protezione dei dati applicabili ai Dati personali, tra cui (ma non solo): (i) le leggi europee sulla protezione dei dati; e (ii) tutte le leggi e i regolamenti degli Stati Uniti, compreso il California Consumer Privacy Act del 2018 (California Civil Code §§ 1798.100 e seguenti ("CCPA"); come eventualmente modificato, sostituito o sostituito.

b. "Dati del cliente" indica qualsiasi Dato Personale trattato da Couchbase per conto del Cliente in qualità di fornitore di servizi o di incaricato del trattamento (a seconda dei casi) in relazione al Servizio Cloud, come più in particolare descritto nell'Allegato A della presente DPA.

c. "SEE" indica gli Stati membri dell'Unione europea, più l'Islanda, il Liechtenstein e la Norvegia.

d. "Leggi europee sulla protezione dei dati" indica: (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche ("Direttiva e-Privacy"); (iii) qualsiasi implementazione nazionale applicabile di (i) e (ii); (iv) la Legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e la relativa Ordinanza ("L'FDPA svizzero"); e (v) per quanto riguarda il Regno Unito, il Data Protection Act 2018 e qualsiasi legislazione nazionale applicabile che sostituisca o converta in diritto nazionale il GDPR, la Direttiva e-Privacy o qualsiasi altra legge relativa ai dati e alla privacy in conseguenza dell'uscita del Regno Unito dall'Unione Europea (collettivamente, "Leggi sulla protezione dei dati nel Regno Unito"); in ogni caso come può essere modificato, sostituito o sostituito.

e. "Clausole modello" indica, a seconda delle circostanze specifiche di ogni singolo Cliente, uno dei seguenti elementi: (i) le clausole contrattuali standard per gli incaricati del trattamento approvate dalla Commissione europea ai sensi della sua decisione 2021/914 (le "2021 Clausole contrattuali standard"), e (ii) l'Addendum per il trasferimento internazionale dei dati nel Regno Unito alle Clausole Contrattuali Standard della Commissione Europea, Versione B1.0, in vigore dal 21 marzo 2022, ("UK IDTA"), ciascuna alternativamente indicata come Clausole Contrattuali Standard, incorporate per riferimento e facenti parte del presente DPA.

f. "Dati personali" indica qualsiasi informazione che si riferisce a una persona fisica identificata o identificabile e che è protetta come "dati personali", "informazioni personali" o "informazioni di identificazione personale" ai sensi delle Leggi sulla protezione dei dati applicabili.

g. "Incidente di sicurezzaPer "Incidente di Sicurezza" si intende qualsiasi violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati del Cliente trasmessi, memorizzati o altrimenti trattati da Couchbase e/o dai suoi Subprocessori in relazione alla fornitura del Servizio Cloud. Le Parti riconoscono e concordano che "Incidente di sicurezza" non include i tentativi o le attività infruttuose che non compromettono la sicurezza dei Dati del Cliente, compresi i tentativi di log-in infruttuosi, i ping, le scansioni delle porte, gli attacchi di negazione del servizio e altri attacchi di rete ai firewall o ai sistemi in rete.

h. "Sottoprocessore" indica qualsiasi elaboratore incaricato da Couchbase o dalle sue Affiliate di assisterla nell'adempimento dei suoi obblighi relativi alla fornitura del Servizio Cloud ai sensi del Contratto o del presente DPA. I subelaboratori possono includere terze parti o Affiliate di Couchbase, ma escludono qualsiasi dipendente, appaltatore o consulente di Couchbase.

i. I termini "controllore", "processore" e "elaborazione" hanno il significato loro attribuito nel GDPR, e "processo", "processi" e "elaborato" devono essere interpretati di conseguenza; e i termini "attività commerciale", "fornitore di servizi" e "vendere" hanno il significato loro attribuito nel CCPA.

2. Ruolo e ambito dell'elaborazione
a. Ambito di applicazione. Fatta salva la Sezione 2(b), la presente DPA si applica nella misura in cui Couchbase elabora come processore o fornitore di servizi (a seconda dei casi) qualsiasi Dato del Cliente protetto dalle Leggi Applicabili sulla Protezione dei Dati.

b. Ruolo delle parti. Le parti riconoscono e concordano che (i) per quanto riguarda il trattamento dei Dati del Cliente, il Cliente è l'azienda, il responsabile del trattamento o l'incaricato del trattamento (a seconda dei casi) di tali Dati del Cliente, e Couchbase è un fornitore di servizi, un incaricato del trattamento o un subincaricato (a seconda dei casi) per conto del Cliente, come ulteriormente descritto nell'Allegato A del presente DPA; e (ii) per quanto riguarda i Dati Personali inclusi in qualsiasi dato tecnico di utilizzo che Couchbase raccoglie in relazione all'utilizzo del Servizio Cloud da parte del Cliente ("Dati di utilizzo"), Couchbase è l'azienda pertinente o il responsabile del trattamento dei Dati di Utilizzo e tratterà i Dati di Utilizzo in conformità con l'informativa sulla privacy di Couchbase disponibile all'indirizzo https://www.couchbase.com/privacy-policy. Ciascuna Parte rispetterà tutte le leggi, le norme e i regolamenti ad essa applicabili e vincolanti per l'esecuzione del presente DPA, comprese le Leggi applicabili in materia di protezione dei dati. Per quanto riguarda i Dati di Utilizzo, Couchbase tratterà tali dati in conformità alle sole Sezioni 8(a)(iii) e (iv), nella misura applicabile.

c. Trattamento dei dati personali da parte di Couchbase. Couchbase accetta di trattare i Dati del Cliente solo per le finalità descritte nella DPA e in conformità alle istruzioni lecite e documentate del Cliente. Le parti convengono che il Contratto (compreso il presente DPA) contiene le istruzioni complete e definitive del Cliente a Couchbase in relazione al trattamento dei Dati del Cliente e il trattamento al di fuori dell'ambito di tali istruzioni (se del caso) richiederà un previo accordo scritto tra il Cliente e Couchbase. Fatta salva la Sezione 2(d) (Responsabilità del Cliente), Couchbase notificherà per iscritto al Cliente, a meno che ciò non sia vietato dalle Leggi Applicabili sulla Protezione dei Dati, e potrà sospendere il trattamento dei Dati del Cliente, qualora venga a conoscenza o ritenga che qualsiasi istruzione di trattamento dei dati da parte del Cliente violi le Leggi Applicabili sulla Protezione dei Dati.

d. Responsabilità del cliente. Il Cliente è responsabile della liceità del trattamento dei Dati del Cliente ai sensi del Contratto o in relazione ad esso. Il Cliente dichiara e garantisce che (i) ha fornito, e continuerà a fornire, tutte le notifiche e ha ottenuto, e continuerà ad ottenere, tutti i consensi, i permessi e i diritti necessari ai sensi delle Leggi Applicabili sulla Protezione dei Dati per consentire a Couchbase di trattare legittimamente i Dati del Cliente per le finalità contemplate dal Contratto (incluso il presente DPA); (ii) ha rispettato tutte le Leggi Applicabili sulla Protezione dei Dati in qualità di controllore e/o azienda dei Dati del Cliente per la raccolta e la fornitura a Couchbase e ai suoi Subprocessori di tali Dati del Cliente; e (iii) si assicurerà che le sue istruzioni di trattamento siano conformi alle leggi applicabili (incluse le Leggi Applicabili sulla Protezione dei Dati) e che il trattamento dei Dati del Cliente da parte di Couchbase in conformità alle istruzioni del Cliente non causerà a Couchbase una violazione delle Leggi Applicabili sulla Protezione dei Dati.

e. Dati aggregati. Nonostante quanto precede o qualsiasi altra cosa contraria contenuta nel Contratto (incluso il presente DPA), l'Utente riconosce che Couchbase e le sue Affiliate hanno il diritto di raccogliere e creare informazioni anonime, aggregate e/o de-identificate (come definito dalle Leggi applicabili in materia di protezione dei dati) per le proprie attività legittime.

3. Sottoelaborazione
a. Subprocessori autorizzati. Il Cliente riconosce e accetta che Couchbase possa incaricare dei Subprocessori per il trattamento dei Dati del Cliente per conto del Cliente. I Subprocessori attualmente impegnati da Couchbase e autorizzati dal Cliente sono elencati sul sito web di Couchbase (attualmente pubblicato all'indirizzo https://info.couchbase.com/cloud-subprocessors.html). Almeno quindici (15) giorni prima di qualsiasi aggiunta di un nuovo subprocessore, Couchbase aggiornerà il sito web applicabile e fornirà al Cliente una notifica di tale aggiornamento tramite il meccanismo fornito su tale sito web di Couchbase, ad eccezione del caso in cui Couchbase ritenga ragionevolmente che l'assunzione di un nuovo subprocessore su base accelerata sia necessaria per proteggere la riservatezza, l'integrità o la disponibilità dei Dati del Cliente o per evitare un'interruzione materiale del Servizio Cloud, Couchbase darà invece tale notifica non appena ragionevolmente possibile.

4. Sicurezza e audit
a. Misure di sicurezza.  Couchbase implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere i Dati del Cliente sotto il suo controllo da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento ("Misure di sicurezza"). Tali misure di sicurezza includeranno, come minimo, le misure descritte nell'Allegato B del presente DPA. Couchbase garantirà che qualsiasi persona autorizzata da Couchbase a trattare i Dati del Cliente ai sensi del presente DPA sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o legale).

b. Aggiornamenti delle misure di sicurezza. Il Cliente riconosce che le Misure di Sicurezza sono soggette al progresso tecnico e allo sviluppo e che Couchbase può aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva del Servizio Cloud acquistato dal Cliente.

c. Responsabilità della sicurezza del cliente. Fermo restando quanto sopra, il Cliente conviene che, salvo quanto previsto dal presente DPA, il Cliente implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente mentre sono sotto il suo dominio e controllo. Il Cliente è responsabile di (i) proteggere la sicurezza di tutte le credenziali del Cliente utilizzate per accedere al Servizio Cloud; (ii) proteggere l'Ambiente Cloud del Cliente e qualsiasi Sistema del Cliente (con tali misure che includono, a titolo esemplificativo e non esaustivo, la rotazione regolare delle chiavi di accesso e altre misure standard del settore per impedire l'accesso non autorizzato); (iii) il backup e la messa in sicurezza dei Dati del Cliente sotto il controllo del Cliente all'interno dell'Ambiente Cloud del Cliente o di altri sistemi controllati dal Cliente; e (iv) la revisione delle informazioni rese disponibili da Couchbase relative alla sicurezza dei dati e alla privacy e la determinazione indipendente del fatto che il Servizio Cloud soddisfi i requisiti e gli obblighi legali del Cliente ai sensi della Legge Applicabile sulla Protezione dei Dati.

d. Risposta agli incidenti di sicurezza. Nella misura richiesta dalle Leggi applicabili in materia di protezione dei dati, non appena viene a conoscenza di un Incidente di sicurezza, Couchbase lo comunicherà al Cliente senza indebito ritardo tramite i Servizi Cloud e dovrà: (i) per assistere il Cliente in relazione a qualsiasi notifica di violazione dei dati personali che il Cliente è tenuto a fare ai sensi delle Leggi Applicabili sulla Protezione dei Dati, Couchbase includerà in tale notifica al Cliente informazioni tempestive relative all'Incidente di Sicurezza non appena ne viene a conoscenza, come ragionevolmente richiesto dal Cliente, tenendo conto della natura del Servizio Cloud, delle informazioni disponibili a Couchbase e di qualsiasi restrizione alla divulgazione delle informazioni, come la riservatezza; e (ii) adottare prontamente le misure, ritenute necessarie e ragionevoli da Couchbase, per contenere, indagare e porre rimedio a qualsiasi Incidente di Sicurezza, nella misura in cui il rimedio rientra nel ragionevole controllo di Couchbase. La notifica o la risposta di Couchbase a un Incidente di Sicurezza ai sensi della presente Sezione 4(d) non sarà interpretata come un riconoscimento da parte di Couchbase di qualsiasi colpa o responsabilità in relazione all'Incidente di Sicurezza. Gli obblighi di cui al presente documento non si applicano agli Incidenti di Sicurezza nella misura in cui sono causati dal Cliente o dai suoi Utenti Autorizzati.

e. Audit di sicurezza. Couchbase fornirà risposte scritte (su base confidenziale) a tutte le ragionevoli richieste scritte di informazioni fatte dall'Acquirente relative al trattamento dei Dati dell'Acquirente da parte di Couchbase, comprese le risposte a questionari di sicurezza delle informazioni e di audit necessari per confermare la conformità di Couchbase alla presente DPA, a condizione che l'Acquirente non eserciti tale diritto più di una volta in un periodo mobile di dodici (12) mesi. Fermo restando quanto sopra, l'Acquirente può anche esercitare tale diritto di audit nel caso in cui gli venga espressamente richiesto o imposto di fornire tali informazioni a un'autorità di protezione dei dati, o Couchbase abbia subito un Incidente di Sicurezza, o su un'altra base ragionevolmente simile.

5. Trasferimenti internazionali
a. Luoghi di lavorazione. Il Cliente riconosce e accetta che Couchbase possa trasferire ed elaborare i Dati del Cliente negli Stati Uniti e in qualsiasi altra parte del mondo in cui Couchbase, le sue Affiliate o i suoi Subprocessori effettuano operazioni di elaborazione dati. Couchbase garantirà in ogni momento che tali trasferimenti siano effettuati in conformità ai requisiti delle Leggi applicabili in materia di protezione dei dati e della presente DPA.

b. Meccanismi di trasferimento. Se, in qualsiasi momento, le Leggi applicabili in materia di protezione dei dati richiedono l'adozione di ulteriori misure per consentire il trasferimento dei Dati del Cliente come stabilito nel presente DPA (tra cui, a titolo esemplificativo, l'esecuzione o la riesecuzione delle Clausole Contrattuali Standard 2021 o dell'IDTA del Regno Unito come documento separato e/o la stipula di ulteriori clausole di trasferimento transfrontaliero), e/o i meccanismi di trasferimento di cui al presente DPA (incluso, a titolo esemplificativo, quanto stabilito nella Sezione 8 di seguito) sono modificati, sostituiti, abrogati o altrimenti interrotti ai sensi della Legge Applicabile sulla Protezione dei Dati, allora il Cliente e Couchbase concordano di collaborare in buona fede per adottare tutte le misure ragionevolmente richieste per consentire un trasferimento conforme alle Leggi Applicabili sulla Protezione dei Dati.

6. Cancellazione dei dati del cliente.
a. Il Servizio Cloud fornirà al Cliente controlli che il Cliente potrà utilizzare per cancellare o recuperare i Dati del Cliente durante il periodo di validità in modo coerente con la funzionalità del Servizio Cloud.

b. Il Cliente autorizza Couchbase, alla cessazione o alla scadenza del Contratto, o in caso di cessazione o sospensione del Servizio Cloud ai sensi del Contratto, a cancellare tutti i Dati del Cliente (comprese le copie) in suo possesso o controllo in conformità al Contratto, salvo che tale requisito non si applichi nella misura in cui Couchbase sia tenuta, ai sensi della legge applicabile, a conservare alcuni o tutti i Dati del Cliente.

7. Diritti dei singoli e cooperazione
a. Richieste dell'interessato. Il Servizio Cloud fornisce al Cliente una serie di controlli, tra cui caratteristiche e funzionalità di sicurezza, che il Cliente può utilizzare per recuperare, correggere, cancellare o limitare i Dati del Cliente, come descritto in qualsiasi documentazione applicabile al Servizio Cloud. Fatto salvo quanto previsto dalla Sezione 4(a), il Cliente può utilizzare tali controlli come misure tecniche e organizzative per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati, inclusi i suoi obblighi relativi alla risposta alle richieste degli interessati. Nella misura in cui l'Acquirente non sia in grado di accedere autonomamente ai relativi Dati dell'Acquirente all'interno del Servizio Cloud, Couchbase, tenendo conto della natura del trattamento, fornirà una ragionevole cooperazione per assistere l'Acquirente a rispondere a qualsiasi richiesta da parte di persone o autorità di protezione dei dati applicabili in relazione al trattamento dei Dati dell'Acquirente ai sensi del Contratto. Nel caso in cui tali richieste siano rivolte direttamente a Couchbase, Couchbase non risponderà direttamente a tale comunicazione senza la preventiva autorizzazione del Cliente, a meno che non sia legalmente obbligata a farlo. Se Couchbase è tenuta a rispondere a tale richiesta, Couchbase lo comunicherà prontamente al Cliente e gli fornirà una copia della richiesta, a meno che non sia legalmente vietato.

b. Ordini di comparizione e ordinanze del tribunale. Se un ente preposto all'applicazione della legge invia a Couchbase una richiesta di Dati del Cliente (ad esempio, attraverso un mandato di comparizione o un'ordinanza del tribunale), Couchbase darà al Cliente un ragionevole preavviso della richiesta per consentirgli di richiedere un ordine di protezione o altro rimedio appropriato, a meno che a Couchbase non sia legalmente vietato farlo.

8. Termini specifici per la giurisdizione
a. Europa. Nella misura in cui i Dati del cliente sono soggetti alle leggi europee sulla protezione dei dati, i seguenti termini si applicano in aggiunta ai termini contenuti nel resto del presente DPA:
i. Obblighi del subprocessore. Couchbase dovrà: (A) stipulare un accordo scritto con ciascun Subprocessore che imponga termini di protezione dei dati che richiedano al Subprocessore di proteggere i dati personali secondo gli standard richiesti dalla legge europea sulla protezione dei dati e dal presente DPA; e (B) rimanere responsabile della propria conformità agli obblighi del presente DPA e di qualsiasi atto o omissione del Subprocessore che provochi la violazione da parte di Couchbase di uno qualsiasi dei suoi obblighi ai sensi del presente DPA.
ii. Obiezioni ai subprocessori. Il Cliente può opporsi per iscritto alla nomina da parte di Couchbase di un nuovo Subprocessore per ragionevoli motivi legati alla protezione dei dati (ad esempio, se la messa a disposizione dei Dati del Cliente al Subprocessore può violare la legge europea sulla protezione dei dati o indebolire le protezioni per tali Dati del Cliente), comunicandolo tempestivamente per iscritto a Couchbase entro cinque (5) giorni di calendario dal ricevimento della comunicazione da parte di Couchbase ai sensi della Sezione 3(a) di cui sopra. Tale comunicazione spiegherà i ragionevoli motivi dell'obiezione e le parti discuteranno tali preoccupazioni in buona fede al fine di raggiungere una risoluzione commercialmente ragionevole. Se non è possibile raggiungere tale risoluzione, Couchbase, a sua esclusiva discrezione, non nominerà il Subprocessore, oppure consentirà al Cliente di sospendere o terminare il Servizio Cloud interessato in conformità alle disposizioni di risoluzione del Contratto senza alcuna responsabilità per entrambe le parti (ma senza pregiudicare eventuali spese sostenute dal Cliente prima della sospensione o della terminazione). A meno che non venga sollevata un'obiezione come indicato nella presente Sezione 8(a)(ii), il Cliente acconsente all'utilizzo da parte di Couchbase di subprocessori come descritto nel presente DPA.
iii. Trasferimenti di dati. Nella misura in cui Couchbase elabora (o fa elaborare) dati personali protetti dalle Leggi europee sulla protezione dei dati in un paese terzo che non è riconosciuto come fornitore di un'adeguata protezione dei dati personali (come descritto nelle Leggi europee sulla protezione dei dati), allora i termini e le condizioni dell'Allegato C (Trasferimenti di dati) si applicheranno e si riterrà che il Cliente (in qualità di esportatore di dati) abbia stipulato le Clausole Modello con Couchbase (in qualità di importatore di dati) e Couchbase accetta di rispettare e trattare tali Dati del Cliente in conformità alle Clausole Modello, che sono incorporate integralmente per riferimento e costituiscono parte integrante del presente DPA. Ai fini delle descrizioni nelle Clausole Modello: (A) Couchbase accetta di essere un "importatore di dati" e l'Acquirente è l'"esportatore di dati" (nonostante l'Acquirente possa essere un'entità situata al di fuori del SEE o del Regno Unito); (B) l'Allegato A e l'Allegato B del presente DPA sostituiscono l'Appendice 1 e l'Appendice 2 delle Clausole Modello. Non è intenzione di nessuna delle parti, né l'effetto del presente DPA, contraddire o limitare alcuna delle disposizioni contenute nelle Clausole Modello. Di conseguenza, se e nella misura in cui le Clausole Modello sono in conflitto con qualsiasi disposizione del presente DPA, le Clausole Modello prevarranno nella misura di tale conflitto. Le Clausole Modello non si applicheranno ai Dati del Cliente non trasferiti, direttamente o tramite trasferimento successivo, al di fuori del SEE o del Regno Unito.
iv. Meccanismo di trasferimento alternativo. Se e nella misura in cui Couchbase adotta una soluzione alternativa di esportazione dei dati per il trasferimento dei Dati del Cliente come prescritto dalle leggi europee sulla protezione dei dati applicabili ("Meccanismo di trasferimento alternativo"), si applicherà invece il Meccanismo di Trasferimento Alternativo (ma solo nella misura in cui tale Meccanismo di Trasferimento Alternativo si applica al trasferimento).
v. Valutazione d'impatto sulla protezione dei dati. Nella misura in cui Couchbase è tenuta a farlo ai sensi della legge europea sulla protezione dei dati, Couchbase fornirà le informazioni ragionevolmente richieste in merito al trattamento dei dati personali da parte di Couchbase ai sensi del Contratto per consentire al Cliente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preliminari con le autorità di vigilanza come richiesto dalla legge.
vi. Trasferimenti di dati dal Regno Unito. Nel caso in cui il trasferimento dei dati personali sia soggetto alle leggi del Regno Unito (compreso il Regolamento generale sulla protezione dei dati del Regno Unito), le parti concordano:
1. Le disposizioni dell'IDTA, compresa la Parte 2 "Clausole obbligatorie", si applicano integralmente;
2. Ai fini della Tabella 1 dell'IDTA del Regno Unito, i nomi delle parti, i loro ruoli e i loro dettagli sono riportati nell'allegato C;
3. Ai fini delle Tabelle 2 e 3 dell'IDTA del Regno Unito, si applicano le Clausole Contrattuali Standard 2021 incorporate nel presente DPA mediante riferimento, comprese le informazioni contenute negli allegati; e
4. Ai fini della Tabella 4 dell'IDTA del Regno Unito, ciascuna delle parti può porre fine all'IDTA del Regno Unito se, dopo uno sforzo in buona fede delle parti per modificare il presente DPA, le parti non riescono a raggiungere un accordo reciproco.

b. California. Nella misura in cui i Dati del Cliente sono soggetti alla CCPA, le parti concordano che il Cliente è un'azienda e che nomina Couchbase come suo fornitore di servizi per trattare i Dati del Cliente come consentito dal Contratto (inclusa la presente DPA) e dalla CCPA, o per scopi altrimenti concordati per iscritto (la "Scopi consentiti"). Il Cliente e Couchbase convengono che: (i) Couchbase non conserverà, utilizzerà o divulgherà le informazioni personali per scopi diversi da quelli consentiti; (ii) i Dati del Cliente non sono stati venduti a Couchbase e Couchbase non "venderà" le informazioni personali (come definite dal CCPA); (iii) Couchbase non conserverà, utilizzerà o divulgherà le informazioni personali al di fuori del rapporto commerciale diretto tra il Cliente e Couchbase; e (iv) Couchbase può de-identificare o aggregare le informazioni personali nel corso della fornitura del Servizio Cloud. Couchbase certifica di aver compreso le restrizioni di cui alla presente Sezione 8(b) e che le rispetterà.

9. Limitazione di responsabilità
a. La responsabilità di ciascuna Parte e di tutte le sue Affiliate, considerate complessivamente, derivante da o correlata al presente DPA (incluse le Clausole Modello), sia per contratto, che per illecito (inclusa la negligenza) o in base a qualsiasi altra teoria di responsabilità, sarà soggetta alle limitazioni e alle esclusioni di responsabilità contenute nell'Accordo, e qualsiasi riferimento nelle disposizioni alla responsabilità di una Parte indica la responsabilità complessiva di tale Parte e di tutte le sue Affiliate ai sensi e in relazione all'Accordo e al presente DPA.

b. Fatta eccezione per i casi in cui le Leggi applicabili in materia di protezione dei dati richiedono che un Affiliato del Cliente eserciti direttamente un diritto o chieda un rimedio ai sensi del presente DPA nei confronti di Couchbase, le parti convengono che (i) solo l'entità del Cliente che è la parte contraente del Contratto eserciterà qualsiasi diritto o chiederà un rimedio che qualsiasi Affiliato del Cliente può avere ai sensi del presente DPA per conto dei suoi Affiliati, e (ii) il Cliente che è la parte contraente del Contratto eserciterà qualsiasi diritto ai sensi del presente DPA non separatamente per ogni Affiliato individualmente ma in modo combinato per tutti i suoi Affiliati insieme.

10. Varie
a. Fatta eccezione per le modifiche apportate dal presente DPA, il Contratto rimane invariato e in pieno vigore.

b. Il presente DPA può essere sottoscritto in copie, ciascuna delle quali sarà considerata un originale, ma tutte insieme costituiranno uno stesso strumento.

c. Se una disposizione o una parte di disposizione del presente DPA è o diventa non valida, illegale o inapplicabile, essa sarà considerata eliminata, ma ciò non pregiudicherà la validità e l'applicabilità del resto del DPA.

d. Il presente DPA sarà disciplinato e interpretato in conformità alle disposizioni in materia di legge e giurisdizione contenute nell'Accordo, a meno che non sia richiesto diversamente dalle leggi europee sulla protezione dei dati.

Il presente Allegato A fa parte del DPA e descrive (i) il trattamento che Couchbase effettuerà sui Dati del Cliente in qualità di incaricato o subincaricato per conto del Cliente in qualità di responsabile o incaricato del trattamento, a seconda dei casi, e (ii) i trasferimenti dei Dati di utilizzo che Couchbase effettuerà in qualità di responsabile del trattamento.

1) Dati del cliente
Durata
La durata del trattamento dei dati ai sensi del presente DPA è fino alla cessazione dell'Accordo in conformità ai suoi termini più il periodo dalla scadenza dell'Accordo fino alla cancellazione dei dati personali da parte di Couchbase in conformità ai termini dell'Accordo (compreso il presente DPA).

Categorie di dati
I dati personali da trattare riguardano le seguenti categorie di dati (specificare):
● Dati personali nel Contenuto del cliente o nel Contenuto dell'assistenza: Dati Personali inclusi in contenuti o dati forniti da o per conto del Cliente o degli Utenti Autorizzati da o attraverso il Servizio Cloud.

Categorie particolari di dati (se del caso)
Le parti non intendono trattare dati di categoria speciale nell'ambito dell'accordo.

Soggetti interessati
I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):
I soggetti interessati comprendono le persone fisiche i cui dati sono forniti a Couchbase tramite il Servizio Cloud da o su indicazione del Cliente, compresi gli Utenti Autorizzati. I soggetti interessati possono includere clienti, dipendenti, fornitori e utenti finali del Cliente.

Operazioni di lavorazione
I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):
● l'elaborazione per fornire il Servizio Cloud in conformità con il Contratto;
● l'elaborazione per eseguire qualsiasi operazione necessaria per l'esecuzione del Contratto;
● l'elaborazione avviata dal Cliente nell'utilizzo del Servizio Cloud; e
Elaborazione per conformarsi ad altre ragionevoli istruzioni fornite dal Cliente (ad esempio tramite e-mail o ticket di assistenza) che siano coerenti con i termini del Contratto.

Frequenza
I dati personali possono essere trasferiti in modo continuativo.

2) Dati di utilizzo
Durata
I Dati di utilizzo sono trasferiti e conservati per la durata del relativo Contratto più il periodo in cui i Dati di utilizzo sono necessari per i legittimi sforzi commerciali di Couchbase. Alcuni record aggregati e anonimizzati delle azioni degli utenti possono essere conservati in modo permanente.

Categorie di dati
I dati personali da trasferire riguardano le seguenti categorie di dati (specificare):
●  Dati Personali in Dati di Utilizzo: I Dati di utilizzo possono includere informazioni sull'account dell'utente, tra cui l'ID dell'account e l'indirizzo e-mail; informazioni di identificazione personale, tra cui l'indirizzo IP; informazioni sull'occupazione; informazioni di contatto; informazioni sul browser e metadati.

Categorie particolari di dati (se del caso)
Le parti non intendono trasferire alcun dato di categoria speciale nell'ambito dell'Accordo.

Soggetti interessati
I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):
I soggetti interessati possono essere il Cliente, i suoi dipendenti e gli altri Utenti Autorizzati e qualsiasi altro collaboratore autorizzato.

Operazioni di lavorazione
I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):
● Elaborazione per fornire e amministrare i prodotti, i servizi e l'assistenza;
Elaborazione per ricavare informazioni utili a migliorare i prodotti, i servizi e l'assistenza e a sostenere lo sviluppo del business;
Elaborazione per coinvolgere e rispondere alle domande dei clienti, svolgere attività di marketing e vendita e analizzare i metadati aziendali.

Frequenza
I dati personali possono essere trasferiti in modo continuativo.

Il presente Allegato descrive le Misure di Sicurezza di Couchbase. Il Cliente riconosce che il Servizio Cloud opera secondo un modello di responsabilità condivisa, che richiede, tra l'altro, che il Cliente adotti determinate misure quali la protezione della sicurezza del Contenuto del Cliente (che rimane memorizzato all'interno dell'ambiente del Cliente sotto il suo controllo). Se e nella misura in cui Couchbase tratta i Dati del Cliente per conto del Cliente in relazione al Servizio Cloud o trasferisce qualsiasi Dato d'Uso soggetto alle Clausole Contrattuali Standard, Couchbase implementa e mantiene le seguenti Misure di Sicurezza:

Misure di crittografia dei dati
Tutti i dati dei clienti vengono crittografati durante il transito con TLS 1.2 (o superiore) e a riposo con crittografia AES-256.
I computer portatili dei dipendenti sono criptati utilizzando la crittografia AES-256 su tutto il disco.
Tutte le credenziali sono crittografate in transito utilizzando TLS 1.2 (o superiore) e crittografate a riposo.
Le chiavi di crittografia vengono ruotate su base annuale e sono conservate e gestite dal fornitore di servizi cloud selezionato dal Cliente.

Misure di disponibilità e recuperabilità
Couchbase mantiene piani e procedure di Disaster Recovery e Business continuity che sono progettati per garantire ragionevolmente la disponibilità del Servizio Cloud.
L'offerta Couchbase Capella è distribuita in data center distribuiti geograficamente e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).
La ridondanza è integrata nell'infrastruttura di sistema che supporta l'offerta Couchbase Capella. In caso di guasto di un sistema primario, l'infrastruttura ridondante in un'altra zona di disponibilità è configurata per prendere il suo posto.
I backup sono archiviati in ambienti controllati all'interno dell'infrastruttura cloud. L'accesso logico ai dati di backup è limitato al personale appropriato ed è memorizzato in archivi ad alta disponibilità.
Su base annuale, viene eseguito un test di ripristino del backup in cui il personale operativo ripristina un backup da un'istantanea per garantire che i dati possano essere ripristinati in caso di incidente.

Misure di sicurezza organizzative
Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.
I dipendenti sono tenuti a seguire corsi di formazione contro la corruzione, l'etica e il codice di condotta, l'insider trading, la privacy dei dati globali e la sensibilizzazione annuale sulla sicurezza.
I dipendenti sono tenuti a firmare accordi di non divulgazione e riservatezza al momento dell'assunzione.
Sono in vigore politiche e procedure formali per le attività di inserimento e disinserimento dei dipendenti. Sono stati definiti e implementati i processi di provisioning e de-provisioning degli account.
L'accesso dei dipendenti viene rimosso al momento della cessazione del rapporto di lavoro o regolato in base alle esigenze di cambiamento di ruolo.
L'autenticazione a più fattori (MFA) è applicata per l'accesso alle risorse critiche e di produzione.
I requisiti di complessità delle password sono rispettati.
La segregazione delle responsabilità e delle mansioni viene attuata per ridurre le opportunità di modifiche o usi impropri non autorizzati o non intenzionali.
Couchbase mantiene accordi di non divulgazione firmati con terze parti.
Le reti Couchbase sono segregate in base ai livelli di fiducia e protette da firewall.

Misure di registrazione e monitoraggio
È abilitata la registrazione delle attività degli utenti, delle eccezioni, dei guasti e degli eventi di sicurezza delle informazioni. I registri vengono conservati, se necessario.
Tutti i registri possono essere consultati solo dai dipendenti autorizzati di Couchbase e sono previsti controlli di accesso per impedire l'accesso non autorizzato.
L'accesso in scrittura ai dati di registrazione è severamente vietato. Le strutture di registrazione e le informazioni di registro sono protette da manomissioni e accessi non autorizzati mediante l'uso di controlli di accesso e misure di sicurezza.
Couchbase dispone di diverse misure di monitoraggio per generare avvisi di sicurezza e identificare attività irregolari.
Il team operativo di Couchbase Capella esamina regolarmente gli avvisi di sicurezza e la loro configurazione sottostante per garantire che funzionino come previsto e che i controlli vengano modificati in base al cambiamento delle condizioni.

Misure di controllo degli accessi
Couchbase implementa le migliori pratiche di sicurezza e utilizza un'architettura di sicurezza basata sui ruoli nei livelli del database, della rete e delle applicazioni e segue rigorosamente i principi del minimo privilegio quando concede l'accesso ai sistemi chiave.
Couchbase ha definito funzioni e ruoli per supportare una corretta segregazione dei compiti.
L'accesso agli ambienti operativi, di produzione e di disaster recovery è protetto dall'uso di account utente univoci, da password forti, dall'uso dell'autenticazione a più fattori (MFA), dall'accesso basato sui ruoli e dal principio dei minimi privilegi.
Le chiavi di accesso utilizzate dalle applicazioni Couchbase di produzione (ad esempio, le chiavi di accesso AWS) sono accessibili solo al personale autorizzato. Vengono ruotate (cambiate) in base alle esigenze (ad esempio, in seguito a un avviso di sicurezza o a un'uscita del personale) e almeno ogni anno.
L'attività dell'utente negli ambienti operativi, compresi l'accesso, la modifica o la cancellazione dei dati, viene registrata.
Le richieste di autorizzazione e il provisioning vengono registrati, monitorati e verificati.
I Web Application Firewall (WAF), oltre ai firewall basati sulla rete, vengono implementati.

Misure di sicurezza fisica
L'offerta Couchbase Capella è distribuita in data center distribuiti geograficamente e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).
L'accesso fisico a tutte le strutture contenenti dati sensibili è limitato e gestito.
Tutte le strutture per le risorse informative (ad esempio, armadi di rete e magazzini) sono protette fisicamente in proporzione alla criticità o all'importanza della loro funzione.
L'accesso alle strutture delle risorse informative è consentito solo al personale aziendale e agli appaltatori le cui responsabilità lavorative richiedono l'accesso a tali strutture.
Tutte le strutture di risorse informative che consentono l'accesso ai visitatori sono configurate per tracciare l'accesso dei visitatori con un registro di accesso.
I registri degli accessi e i registri dei visitatori per le strutture delle risorse informative sono conservati per una revisione di routine in base alla criticità delle risorse informative protette.
Le apparecchiature sono protette per ridurre i rischi derivanti da minacce ambientali, pericoli e possibilità di accesso non autorizzato.

Configurazioni di sistema sicure
Couchbase dispone di una politica e di una procedura di gestione delle modifiche.
Couchbase monitora le modifiche apportate ai sistemi in esame per garantire che venga seguito il processo standard applicabile e per mitigare qualsiasi rischio di modifiche non rilevate alla produzione. Le modifiche sono tracciate nel sistema di gestione delle modifiche.
La politica e le procedure di controllo degli accessi sono in atto per impedire modifiche non autorizzate.
I controlli per la gestione dei dispositivi mobili sono attivi.

La governance
Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.
Couchbase dispone di una politica di sicurezza delle informazioni documentata e approvata, compresa la documentazione di supporto.
L'autorità e la responsabilità di gestire il programma di sicurezza delle informazioni di Couchbase sono state delegate al Gruppo Sicurezza e Conformità delle Informazioni, che è autorizzato dall'alta direzione a intraprendere le azioni necessarie per stabilire, implementare e gestire il programma di sicurezza delle informazioni di Couchbase.

Conformità
Couchbase è sottoposto a verifica da parte di un revisore indipendente e ha ottenuto la conformità SOC 2 Tipo 1, che attesta il nostro impegno nei confronti dei controlli che salvaguardano la riservatezza e la disponibilità delle informazioni memorizzate ed elaborate nel servizio Couchbase Capella.

Accesso minimo ai dati
Vengono effettuate valutazioni sulla privacy in relazione all'implementazione di nuovi prodotti/servizi e al trattamento dei dati personali da parte di terzi.
La raccolta dei dati è limitata alle finalità del trattamento (o ai dati che il cliente sceglie di fornire).
Le misure di sicurezza sono in atto per fornire solo la quantità minima di accesso necessaria per svolgere le funzioni richieste.
● Vengono identificati i requisiti di conservazione dei dati
L'accesso ai dati personali è limitato al personale coinvolto nel trattamento, secondo il principio della "necessità di sapere" e in base ai ruoli e alle responsabilità definiti delle persone.

Misure di responsabilità
Le valutazioni sulla privacy dei clienti sono necessarie quando si introduce un nuovo prodotto/servizio che comporta il trattamento di dati personali.
Le valutazioni d'impatto sulla protezione dei dati fanno parte di ogni nuova iniziativa di trattamento.

Richieste di accesso ai dati
Gli interessati possono richiedere l'esportazione dei propri dati personali in un formato standard.
● Esistono processi che consentono alle persone di esercitare i propri diritti in materia di privacy (ad esempio, il diritto alla cancellazione o alla portabilità dei dati), come descritto nell'Informativa sulla privacy di Couchbase, disponibile al pubblico.

Couchbase continuerà ad analizzare la recente guida del Comitato europeo per la protezione dei dati sulle misure supplementari per soddisfare il requisito di adeguatezza del GDPR, e qualsiasi altro documento emesso dalle autorità europee per la protezione dei dati che si presenterà.

Il presente Allegato stabilisce i termini e le condizioni che si applicano quando l'uso del Servizio Cloud da parte del Cliente richiede un meccanismo di trasferimento successivo per trasferire legalmente i dati personali da una giurisdizione a Couchbase situata al di fuori di tale giurisdizione.

1. Le clausole contrattuali standard 2021. Per i trasferimenti di dati soggetti al GDPR e/o all'IFPD svizzero, le Clausole Contrattuali Standard 2021 si applicano nel modo seguente:
a. Il Modulo Uno (da controllore a controllore) si applicherà nel caso in cui il Cliente sia un controllore dei Dati di Utilizzo e Couchbase sia un controllore dei Dati di Utilizzo.
b. Il Modulo Due (Controller to Processor) si applicherà nel caso in cui l'Utente sia un controller dei Dati dell'Utente e Couchbase sia un processore dei Dati dell'Utente;
c. Il Modulo Tre (da elaboratore a elaboratore) si applicherà nel caso in cui l'Acquirente sia un elaboratore dei Dati dell'Acquirente e Couchbase sia un sub-elaboratore dei Dati dell'Acquirente;
d. Per ogni modulo, se applicabile:
(i) nella Clausola 7, si applicherà la clausola di attracco opzionale e le parti collaboreranno in buona fede per adottare le misure necessarie ad applicare le Clausole Contrattuali Standard 2021 a un'altra parte;
(ii) nella Clausola 9, si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al subprocessore sarà quello stabilito nella Sezione 3 (Subprocessing) del presente DPA;
(iii) nella clausola 11, la lingua opzionale non si applica;
(iv) nella Clausola 17 (Opzione 1), le Clausole Contrattuali Standard 2021 saranno disciplinate dalla legge dello Stato membro dell'UE in cui è stabilito l'Esportatore di Dati e, in mancanza di tale legge, dalla legge irlandese; a condizione che, per quanto riguarda qualsiasi trasferimento di dati soggetti alle leggi sulla protezione dei dati di un paese al di fuori del SEE in cui l'autorità competente ha approvato l'uso delle Clausole Contrattuali Standard 2021 (compresa, ma non solo, la Svizzera) (un "Paese adottante"), le Clausole Contrattuali Standard 2021 saranno disciplinate dalle leggi sulla protezione dei dati del Paese di adozione.
(v) nella Clausola 18(b), le controversie saranno risolte dai tribunali dello Stato membro dell'UE in cui ha sede l'Esportatore di dati e, in mancanza di tale legge, dai tribunali della Repubblica d'Irlanda; a condizione che, in relazione a qualsiasi trasferimento di dati soggetto alle leggi sulla protezione dei dati di un Paese adottante, qualsiasi controversia derivante dalle Clausole contrattuali standard 2021 sarà risolta dai tribunali del Paese adottante.
(vi) Nell'allegato I, parte A:
Esportatore di dati: il Cliente e le sue affiliate autorizzate.
Dettagli di contatto: Indirizzo/i e-mail del Cliente specificato/i come account pertinente per ricevere le comunicazioni nell'ambito del Servizio Cloud.
Ruolo dell'esportatore di dati: Il Cliente è il responsabile del trattamento o dell'elaborazione dei Dati del Cliente, a seconda dei casi, e il responsabile del trattamento dei Dati di Utilizzo.
Attività rilevanti per i dati trasferiti: Ricezione di software e servizi da Couchbase e dalle sue affiliate.
Firma e data: Con la stipula dell'Accordo e del DPA, si ritiene che l'Esportatore di Dati abbia sottoscritto le presenti Clausole Contrattuali Standard qui incorporate, compresi i relativi Allegati, alla data di entrata in vigore del DPA.
Importatore di dati: Couchbase, Inc.
Dettagli di contatto: Team legale di Couchbase - legal@couchbase.com
Ruolo dell'importatore di dati: Couchbase è l'elaboratore o il sub-elaboratore dei Dati del cliente, a seconda dei casi, e il responsabile del trattamento dei Dati di utilizzo.
Attività rilevanti per i dati trasferiti: Fornitura di software e servizi
Firma e data: Con la stipula dell'Accordo e del DPA, si ritiene che l'Importatore di dati abbia firmato le presenti Clausole contrattuali standard, qui incorporate, compresi gli allegati, alla data di entrata in vigore del DPA.
(vii) Nell'allegato I, parte B:
Le categorie di soggetti interessati sono descritte nell'Allegato A della presente DPA.
I dati sensibili trasferiti sono descritti nell'Allegato A del presente DPA.
La frequenza del trasferimento è continua per tutta la durata del Contratto.
La natura del trattamento è descritta nell'Allegato A del presente DPA.
Le finalità del trattamento sono descritte nell'Allegato A della presente DPA.
La durata del trattamento è descritta nell'Allegato A della presente LPD.
Per i trasferimenti a subelaboratori, l'oggetto, la natura e la durata del trattamento sono indicati in https://info.couchbase.com/cloud-subprocessors.html
(viii) Nell'Allegato I, Parte C: L'autorità di vigilanza dello Stato membro dell'UE specificato nella Sezione 1(d)(iv) di cui sopra agisce in qualità di autorità di vigilanza competente; a condizione che, per quanto riguarda qualsiasi trasferimento di dati soggetti alle leggi sulla protezione dei dati di un Paese adottante, l'autorità di vigilanza sia l'autorità di protezione dei dati del Paese adottante.
(ix) L'Allegato B del presente DPA funge da Allegato II delle Clausole contrattuali standard.

4. Termini in conflitto. In caso di conflitto tra le Clausole contrattuali standard e qualsiasi altro termine del presente DPA, prevarranno le disposizioni delle Clausole contrattuali standard.