Couchbase Capella Cloud Trattamento dei dati del cliente Addendum

Il presente Addendum sul trattamento dei dati (il presente "DPA”) forms part of the Capella Cloud Service Subscription Agreement, or other agreement between Customer and Couchbase governing Customer’s use of the Cloud Service (“Accordo"), tra Couchbase, Inc. ("Couchbase”) and the party identified as the “Customer” in the Agreement (“Customer”) (each a “Partito" e, insieme, il "Parti”). The effective date of this DPA is the effective date of the Agreement, or if executed separately, the date of the last signature below (“Data di entrata in vigore").

Il presente DPA descrive gli impegni delle Parti in merito al trattamento dei Dati Personali in relazione all'utilizzo del Servizio Cloud da parte del Cliente. In caso di conflitto tra i termini del Contratto e i termini del presente DPA, i termini del presente DPA prevarranno nella misura di tale conflitto. Qualsiasi termine in maiuscolo non definito nel presente DPA avrà il significato attribuitogli nel Contratto.

Il presente Accordo è stato aggiornato l'ultima volta il September 21, 2022.

Le Parti concordano quanto segue:

1. Definizioni. I seguenti termini in maiuscolo, quando utilizzati nel presente DPA, avranno il significato corrispondente fornito di seguito:
a. "Leggi sulla protezione dei dati applicabili" indica tutte le leggi, i regolamenti, le norme, le ordinanze e gli altri decreti mondiali sulla privacy e sulla protezione dei dati applicabili ai Dati personali, tra cui (ma non solo): (i) le leggi europee sulla protezione dei dati; e (ii) tutte le leggi e i regolamenti degli Stati Uniti, compreso il California Consumer Privacy Act del 2018 (California Civil Code §§ 1798.100 e seguenti ("CCPA"); come eventualmente modificato, sostituito o sostituito.

b. "Dati del cliente" indica qualsiasi Dato Personale trattato da Couchbase per conto del Cliente in qualità di fornitore di servizi o di incaricato del trattamento (a seconda dei casi) in relazione al Servizio Cloud, come più in particolare descritto nell'Allegato A della presente DPA.

c. "SEE" indica gli Stati membri dell'Unione europea, più l'Islanda, il Liechtenstein e la Norvegia.

d. "Leggi europee sulla protezione dei dati" indica: (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche ("Direttiva e-Privacy"); (iii) qualsiasi implementazione nazionale applicabile di (i) e (ii); (iv) la Legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e la relativa Ordinanza ("L'FDPA svizzero"); e (v) per quanto riguarda il Regno Unito, il Data Protection Act 2018 e qualsiasi legislazione nazionale applicabile che sostituisca o converta in diritto nazionale il GDPR, la Direttiva e-Privacy o qualsiasi altra legge relativa ai dati e alla privacy in conseguenza dell'uscita del Regno Unito dall'Unione Europea (collettivamente, "Leggi sulla protezione dei dati nel Regno Unito"); in ogni caso come può essere modificato, sostituito o sostituito.

e. "Clausole modello” means, depending on the circumstances unique to any particular Customer, any of the following: (i) the standard contractual clauses for processors as approved by the European Commission pursuant to its decision 2021/914 (the “2021 Clausole contrattuali standard"), e (ii) l'Addendum per il trasferimento internazionale dei dati nel Regno Unito alle Clausole Contrattuali Standard della Commissione UE, Versione B1.0, in vigore dal 21 marzo 2022, ("UK IDTA"), ciascuna alternativamente indicata come Clausole Contrattuali Standard, incorporate per riferimento e facenti parte del presente DPA.

f. "Dati personali" indica qualsiasi informazione che si riferisce a una persona fisica identificata o identificabile e che è protetta come "dati personali", "informazioni personali" o "informazioni di identificazione personale" ai sensi delle Leggi sulla protezione dei dati applicabili.

g. "Incidente di sicurezzaPer "Incidente di Sicurezza" si intende qualsiasi violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati del Cliente trasmessi, memorizzati o altrimenti trattati da Couchbase e/o dai suoi Subprocessori in relazione alla fornitura del Servizio Cloud. Le Parti riconoscono e concordano che "Incidente di sicurezza" non include i tentativi o le attività infruttuose che non compromettono la sicurezza dei Dati del Cliente, compresi i tentativi di log-in infruttuosi, i ping, le scansioni delle porte, gli attacchi di negazione del servizio e altri attacchi di rete ai firewall o ai sistemi in rete.

h. "Sottoprocessore" indica qualsiasi elaboratore incaricato da Couchbase o dalle sue Affiliate di assisterla nell'adempimento dei suoi obblighi relativi alla fornitura del Servizio Cloud ai sensi del Contratto o del presente DPA. I subelaboratori possono includere terzi o Affiliati di Couchbase, ma escludono qualsiasi dipendente, appaltatore o consulente di Couchbase.

i. The terms “controllore", "processore" e "elaborazione" hanno il significato loro attribuito nel GDPR, e "processo", "processi" e "elaborato" devono essere interpretati di conseguenza; e i termini "attività commerciale", "fornitore di servizi" e "vendere" hanno il significato loro attribuito nel CCPA.

2. Ruolo e ambito dell'elaborazione
a. Ambito di applicazione. Fatta salva la Sezione 2(b), la presente DPA si applica nella misura in cui Couchbase elabora come processore o fornitore di servizi (a seconda dei casi) qualsiasi Dato del Cliente protetto dalle Leggi Applicabili sulla Protezione dei Dati.

b. Ruolo delle parti. The parties acknowledge and agree that (i) with respect to the processing of Customer Data, Customer is the relevant business, controller or processor (as applicable) of such Customer Data, and Couchbase is a service provider, processor or subprocessor (as applicable) on behalf of Customer, as further described in Annex A of this DPA; and (ii) with respect to Personal Data included in any technical usage data Couchbase collects in connection with Customer’s use of the Cloud Service (“Dati di utilizzo"), Couchbase è l'azienda pertinente o il responsabile del trattamento dei Dati di Utilizzo e tratterà i Dati di Utilizzo in conformità con l'informativa sulla privacy di Couchbase disponibile all'indirizzo https://www.couchbase.com/privacy-policy. Ciascuna Parte rispetterà tutte le leggi, le norme e i regolamenti ad essa applicabili e vincolanti per l'esecuzione del presente DPA, comprese le Leggi applicabili in materia di protezione dei dati. Per quanto riguarda i Dati di Utilizzo, Couchbase tratterà tali dati in conformità alle sole Sezioni 8(a)(iii) e (iv), nella misura applicabile.

c. Trattamento dei dati personali da parte di Couchbase. Couchbase accetta di trattare i Dati del Cliente solo per le finalità descritte nella DPA e in conformità alle istruzioni lecite e documentate del Cliente. Le parti convengono che il Contratto (compreso il presente DPA) contiene le istruzioni complete e definitive del Cliente a Couchbase in relazione al trattamento dei Dati del Cliente e il trattamento al di fuori dell'ambito di tali istruzioni (se del caso) richiederà un previo accordo scritto tra il Cliente e Couchbase. Fatta salva la Sezione 2(d) (Responsabilità del Cliente), Couchbase notificherà per iscritto al Cliente, a meno che ciò non sia vietato dalle Leggi Applicabili sulla Protezione dei Dati, e potrà sospendere il trattamento dei Dati del Cliente, qualora venga a conoscenza o ritenga che qualsiasi istruzione di trattamento dei dati da parte del Cliente violi le Leggi Applicabili sulla Protezione dei Dati.

d. Responsabilità del cliente. Il Cliente è responsabile della liceità del trattamento dei Dati del Cliente ai sensi del Contratto o in relazione ad esso. Il Cliente dichiara e garantisce che (i) ha fornito, e continuerà a fornire, tutte le notifiche e ha ottenuto, e continuerà ad ottenere, tutti i consensi, i permessi e i diritti necessari ai sensi delle Leggi Applicabili sulla Protezione dei Dati per consentire a Couchbase di trattare legittimamente i Dati del Cliente per le finalità contemplate dal Contratto (incluso il presente DPA); (ii) ha rispettato tutte le Leggi Applicabili sulla Protezione dei Dati in qualità di controllore e/o azienda dei Dati del Cliente per la raccolta e la fornitura a Couchbase e ai suoi Subprocessori di tali Dati del Cliente; e (iii) si assicurerà che le sue istruzioni di trattamento siano conformi alle leggi applicabili (incluse le Leggi Applicabili sulla Protezione dei Dati) e che il trattamento dei Dati del Cliente da parte di Couchbase in conformità alle istruzioni del Cliente non causerà a Couchbase una violazione delle Leggi Applicabili sulla Protezione dei Dati.

e. Dati aggregati. Nonostante quanto precede o qualsiasi altra cosa contraria contenuta nel Contratto (incluso il presente DPA), l'Utente riconosce che Couchbase e le sue Affiliate hanno il diritto di raccogliere e creare informazioni anonime, aggregate e/o de-identificate (come definito dalle Leggi applicabili in materia di protezione dei dati) per le proprie attività legittime.

3. Sottoelaborazione
a. Subprocessori autorizzati. Il Cliente riconosce e accetta che Couchbase possa incaricare dei Subprocessori per il trattamento dei Dati del Cliente per conto del Cliente. I Subprocessori attualmente impegnati da Couchbase e autorizzati dal Cliente sono elencati sul sito web di Couchbase (attualmente pubblicato all'indirizzo https://info.couchbase.com/cloud-subprocessors.html). Almeno quindici (15) giorni prima di qualsiasi aggiunta di un nuovo subprocessore, Couchbase aggiornerà il sito web applicabile e fornirà al Cliente una notifica di tale aggiornamento tramite il meccanismo fornito su tale sito web di Couchbase, ad eccezione del caso in cui Couchbase ritenga ragionevolmente che l'assunzione di un nuovo subprocessore su base accelerata sia necessaria per proteggere la riservatezza, l'integrità o la disponibilità dei Dati del Cliente o per evitare un'interruzione materiale del Servizio Cloud, Couchbase darà invece tale notifica non appena ragionevolmente possibile.

4. Sicurezza e audit
a. Misure di sicurezza. Couchbase implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere i Dati del Cliente sotto il suo controllo da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento ("Misure di sicurezza"). Tali misure di sicurezza includeranno, come minimo, le misure descritte nell'Allegato B del presente DPA. Couchbase garantirà che qualsiasi persona autorizzata da Couchbase a trattare i Dati del Cliente ai sensi del presente DPA sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o legale).

b. Aggiornamenti delle misure di sicurezza. Il Cliente riconosce che le Misure di Sicurezza sono soggette al progresso tecnico e allo sviluppo e che Couchbase può aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva del Servizio Cloud acquistato dal Cliente.

c. Responsabilità della sicurezza del cliente. Fermo restando quanto sopra, il Cliente conviene che, salvo quanto previsto dal presente DPA, il Cliente implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente mentre sono sotto il suo dominio e controllo. Il Cliente è responsabile di (i) proteggere la sicurezza di tutte le credenziali del Cliente utilizzate per accedere al Servizio Cloud; (ii) proteggere l'Ambiente Cloud del Cliente e qualsiasi Sistema del Cliente (con tali misure che includono, a titolo esemplificativo e non esaustivo, la rotazione regolare delle chiavi di accesso e altre misure standard del settore per impedire l'accesso non autorizzato); (iii) il backup e la messa in sicurezza dei Dati del Cliente sotto il controllo del Cliente all'interno dell'Ambiente Cloud del Cliente o di altri sistemi controllati dal Cliente; e (iv) la revisione delle informazioni rese disponibili da Couchbase relative alla sicurezza dei dati e alla privacy e la determinazione indipendente del fatto che il Servizio Cloud soddisfi i requisiti e gli obblighi legali del Cliente ai sensi della Legge Applicabile sulla Protezione dei Dati.

d. Risposta agli incidenti di sicurezza. Nella misura richiesta dalle Leggi applicabili in materia di protezione dei dati, non appena viene a conoscenza di un Incidente di sicurezza, Couchbase lo comunicherà al Cliente senza indebito ritardo tramite i Servizi Cloud e dovrà: (i) per assistere il Cliente in relazione a qualsiasi notifica di violazione dei dati personali che il Cliente è tenuto a fare ai sensi delle Leggi Applicabili sulla Protezione dei Dati, Couchbase includerà in tale notifica al Cliente informazioni tempestive relative all'Incidente di Sicurezza non appena ne viene a conoscenza, come ragionevolmente richiesto dal Cliente, tenendo conto della natura del Servizio Cloud, delle informazioni disponibili a Couchbase e di qualsiasi restrizione alla divulgazione delle informazioni, come la riservatezza; e (ii) adottare prontamente le misure, ritenute necessarie e ragionevoli da Couchbase, per contenere, indagare e porre rimedio a qualsiasi Incidente di Sicurezza, nella misura in cui il rimedio rientra nel ragionevole controllo di Couchbase. La notifica o la risposta di Couchbase a un Incidente di Sicurezza ai sensi della presente Sezione 4(d) non sarà interpretata come un riconoscimento da parte di Couchbase di qualsiasi colpa o responsabilità in relazione all'Incidente di Sicurezza. Gli obblighi di cui al presente documento non si applicano agli Incidenti di Sicurezza nella misura in cui sono causati dal Cliente o dai suoi Utenti Autorizzati.

e. Audit di sicurezza. Couchbase fornirà risposte scritte (su base confidenziale) a tutte le ragionevoli richieste scritte di informazioni fatte dall'Acquirente relative al trattamento dei Dati dell'Acquirente da parte di Couchbase, comprese le risposte a questionari di sicurezza delle informazioni e di audit necessari per confermare la conformità di Couchbase alla presente DPA, a condizione che l'Acquirente non eserciti tale diritto più di una volta in un periodo mobile di dodici (12) mesi. Fermo restando quanto sopra, l'Acquirente può anche esercitare tale diritto di audit nel caso in cui gli venga espressamente richiesto o imposto di fornire tali informazioni a un'autorità di protezione dei dati, o Couchbase abbia subito un Incidente di Sicurezza, o su un'altra base ragionevolmente simile.

5. Trasferimenti internazionali
a. Luoghi di lavorazione. Customer acknowledges and agrees that Couchbase may transfer and process Customer Data to and in the United States and anywhere else in the world where Couchbase, its Affiliates or its Sub-processors maintain data processing operations. Couchbase shall at all times ensure such transfers are made in compliance with the requirements of Applicable Data Protection Laws and this DPA.

b. Transfer Mechanisms. Se, in qualsiasi momento, le Leggi applicabili in materia di protezione dei dati richiedono l'adozione di ulteriori misure per consentire il trasferimento dei Dati del Cliente come stabilito nel presente DPA (tra cui, a titolo esemplificativo, l'esecuzione o la riesecuzione delle Clausole Contrattuali Standard 2021 o dell'IDTA del Regno Unito come documento separato e/o la stipula di ulteriori clausole di trasferimento transfrontaliero), e/o i meccanismi di trasferimento di cui al presente DPA (incluso, a titolo esemplificativo, quanto stabilito nella Sezione 8 di seguito) sono modificati, sostituiti, abrogati o altrimenti interrotti ai sensi della Legge Applicabile sulla Protezione dei Dati, allora il Cliente e Couchbase concordano di collaborare in buona fede per adottare tutte le misure ragionevolmente richieste per consentire un trasferimento conforme alle Leggi Applicabili sulla Protezione dei Dati.

6. Deletion of Customer Data
a. Il Servizio Cloud fornirà al Cliente controlli che il Cliente potrà utilizzare per cancellare o recuperare i Dati del Cliente durante il periodo di validità in modo coerente con la funzionalità del Servizio Cloud.

b. Il Cliente autorizza Couchbase, alla cessazione o alla scadenza del Contratto, o in caso di cessazione o sospensione del Servizio Cloud ai sensi del Contratto, a cancellare tutti i Dati del Cliente (comprese le copie) in suo possesso o controllo in conformità al Contratto, salvo che tale requisito non si applichi nella misura in cui Couchbase sia tenuta, ai sensi della legge applicabile, a conservare alcuni o tutti i Dati del Cliente.

7. Diritti dei singoli e cooperazione
a. Richieste dell'interessato. The Cloud Service provide Customer with a number of controls, including security features and functionalities, that Customer may use to retrieve, correct, delete or restrict Customer Data, as described in any documentation applicable to the Cloud Service. Without prejudice to Section 4(a), Customer may use these controls as technical and organizational measures to assist it in connection with its obligations under Applicable Data Protection Laws, including its obligations relating to responding to requests from data subjects. To the extent that Customer is unable to independently access the relevant Customer Data within the Cloud Service, Couchbase shall, taking into account the nature of the processing, provide reasonable cooperation to assist Customer to respond to any requests from individuals or applicable data protection authorities relating to the processing of Customer Data under the Agreement. In the event that any such request is made to Couchbase directly, Couchbase shall not respond to such communication directly without Customer’s prior authorization, unless legally compelled to do so. If Couchbase is required to respond to such a request, Couchbase shall promptly notify Customer and provide it with a copy of the request unless legally prohibited from doing so.

b. Ordini di comparizione e ordinanze del tribunale. Se un ente preposto all'applicazione della legge invia a Couchbase una richiesta di Dati del Cliente (ad esempio, attraverso un mandato di comparizione o un'ordinanza del tribunale), Couchbase darà al Cliente un ragionevole preavviso della richiesta per consentirgli di richiedere un ordine di protezione o altro rimedio appropriato, a meno che a Couchbase non sia legalmente vietato farlo.

8. Termini specifici per la giurisdizione
a. Europa. Nella misura in cui i Dati del cliente sono soggetti alle leggi europee sulla protezione dei dati, i seguenti termini si applicano in aggiunta ai termini contenuti nel resto del presente DPA:

i. Obblighi del subprocessore. Couchbase dovrà: (A) stipulare un accordo scritto con ciascun Subprocessore che imponga termini di protezione dei dati che richiedano al Subprocessore di proteggere i dati personali secondo gli standard richiesti dalla legge europea sulla protezione dei dati e dal presente DPA; e (B) rimanere responsabile della propria conformità agli obblighi del presente DPA e di qualsiasi atto o omissione del Subprocessore che provochi la violazione da parte di Couchbase di uno qualsiasi dei suoi obblighi ai sensi del presente DPA.

ii. Obiezioni ai subprocessori. Customer may object in writing to Couchbase’s appointment of a new Sub-processor on reasonable grounds relating to data protection (e.g. if making Customer Data available to the Sub-processor may violate European Data Protection Law or weaken the protections for such Customer Data) by notifying Couchbase promptly in writing within five (5) calendar days of receipt of notice from Couchbase in accordance with Section 3(a) above. Such notice shall explain the reasonable grounds for the objection and the parties shall discuss such concerns in good faith with a view to achieving commercially reasonable resolution. If no such resolution can be reached, Couchbase will, at its sole discretion, either not appoint Sub-processor, or permit Customer to suspend or terminate the affected Cloud Service in accordance with the termination provisions in the Agreement without liability to either party (but without prejudice to any fees incurred by Customer prior to suspension or termination). Unless an objection is made as set forth in this Section 8(a)(ii), Customer consents to Couchbase’s use of sub-processors as described in this DPA.

iii. Trasferimenti di dati. Nella misura in cui Couchbase elabora (o fa elaborare) dati personali protetti dalle Leggi europee sulla protezione dei dati in un paese terzo che non è riconosciuto come fornitore di un'adeguata protezione dei dati personali (come descritto nelle Leggi europee sulla protezione dei dati), allora i termini e le condizioni dell'Allegato C (Trasferimenti di dati) si applicheranno e si riterrà che il Cliente (in qualità di esportatore di dati) abbia stipulato le Clausole Modello con Couchbase (in qualità di importatore di dati) e Couchbase accetta di rispettare e trattare tali Dati del Cliente in conformità alle Clausole Modello, che sono incorporate integralmente per riferimento e costituiscono parte integrante del presente DPA. Ai fini delle descrizioni nelle Clausole Modello: (A) Couchbase accetta di essere un "importatore di dati" e l'Acquirente è l'"esportatore di dati" (nonostante l'Acquirente possa essere un'entità situata al di fuori del SEE o del Regno Unito); (B) l'Allegato A e l'Allegato B del presente DPA sostituiscono l'Appendice 1 e l'Appendice 2 delle Clausole Modello. Non è intenzione di nessuna delle parti, né l'effetto del presente DPA, contraddire o limitare alcuna delle disposizioni contenute nelle Clausole Modello. Di conseguenza, se e nella misura in cui le Clausole Modello sono in conflitto con qualsiasi disposizione del presente DPA, le Clausole Modello prevarranno nella misura di tale conflitto. Le Clausole Modello non si applicheranno ai Dati del Cliente non trasferiti, direttamente o tramite trasferimento successivo, al di fuori del SEE o del Regno Unito.

iv. Meccanismo di trasferimento alternativo. Se e nella misura in cui Couchbase adotta una soluzione alternativa di esportazione dei dati per il trasferimento dei Dati del Cliente come prescritto dalle leggi europee sulla protezione dei dati applicabili ("Meccanismo di trasferimento alternativo"), si applicherà invece il Meccanismo di Trasferimento Alternativo (ma solo nella misura in cui tale Meccanismo di Trasferimento Alternativo si applica al trasferimento).

v. Valutazione d'impatto sulla protezione dei dati. Nella misura in cui Couchbase è tenuta a farlo ai sensi della legge europea sulla protezione dei dati, Couchbase fornirà le informazioni ragionevolmente richieste in merito al trattamento dei dati personali da parte di Couchbase ai sensi del Contratto per consentire al Cliente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preliminari con le autorità di vigilanza come richiesto dalla legge.

vi. Trasferimenti di dati dal Regno Unito. Nel caso in cui il trasferimento dei dati personali sia soggetto alle leggi del Regno Unito (compreso il Regolamento generale sulla protezione dei dati del Regno Unito), le parti concordano:

1. Le disposizioni dell'IDTA, compresa la Parte 2 "Clausole obbligatorie", si applicano integralmente;

2. Ai fini della Tabella 1 dell'IDTA del Regno Unito, i nomi delle parti, i loro ruoli e i loro dettagli sono riportati nell'allegato C;

3. Ai fini delle Tabelle 2 e 3 dell'IDTA del Regno Unito, si applicano le Clausole Contrattuali Standard 2021 incorporate nel presente DPA mediante riferimento, comprese le informazioni contenute negli allegati; e

4. Ai fini della Tabella 4 dell'IDTA del Regno Unito, ciascuna delle parti può porre fine all'IDTA del Regno Unito se, dopo uno sforzo in buona fede delle parti per modificare il presente DPA, le parti non riescono a raggiungere un accordo reciproco.

b. California. Nella misura in cui i Dati del Cliente sono soggetti alla CCPA, le parti concordano che il Cliente è un'azienda e che nomina Couchbase come suo fornitore di servizi per trattare i Dati del Cliente come consentito dal Contratto (inclusa la presente DPA) e dalla CCPA, o per scopi altrimenti concordati per iscritto (la "Scopi consentiti"). Il Cliente e Couchbase convengono che: (i) Couchbase non conserverà, utilizzerà o divulgherà le informazioni personali per scopi diversi da quelli consentiti; (ii) i Dati del Cliente non sono stati venduti a Couchbase e Couchbase non "venderà" le informazioni personali (come definite dal CCPA); (iii) Couchbase non conserverà, utilizzerà o divulgherà le informazioni personali al di fuori del rapporto commerciale diretto tra il Cliente e Couchbase; e (iv) Couchbase può de-identificare o aggregare le informazioni personali nel corso della fornitura del Servizio Cloud. Couchbase certifica di aver compreso le restrizioni di cui alla presente Sezione 8(b) e che le rispetterà.

9. Limitazione di responsabilità
a. Each Party’s and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA (including the Model Clauses) whether in contract, tort (including negligence) or under any other theory of liability, shall be subject to the limitations and exclusions of liability in the Agreement, and any reference in provisions to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together.

b. Except where Applicable Data Protection Laws require a Customer Affiliate to exercise a right or seek any remedy under this DPA against Couchbase directly by itself, the parties agree that (i) solely the Customer entity that is the contracting party to the Agreement shall exercise any right or seek any remedy any Customer Affiliate may have under this DPA on behalf of its Affiliates, and (ii) the Customer that is the contracting party to the Agreement shall exercise any such rights under this DPA not separately for each Affiliate individually but in a combined manner for all of its Affiliates together.

10. Varie
a. Fatta eccezione per le modifiche apportate dal presente DPA, il Contratto rimane invariato e in pieno vigore.

b. Il presente DPA può essere sottoscritto in copie, ciascuna delle quali sarà considerata un originale, ma tutte insieme costituiranno uno stesso strumento.

c. Se una disposizione o una parte di disposizione del presente DPA è o diventa non valida, illegale o inapplicabile, essa sarà considerata eliminata, ma ciò non pregiudicherà la validità e l'applicabilità del resto del DPA.

d. Il presente DPA sarà disciplinato e interpretato in conformità alle disposizioni in materia di legge e giurisdizione contenute nell'Accordo, a meno che non sia richiesto diversamente dalle leggi europee sulla protezione dei dati.

Il presente Allegato A fa parte del DPA e descrive (i) il trattamento che Couchbase effettuerà sui Dati del Cliente in qualità di incaricato o subincaricato per conto del Cliente in qualità di responsabile o incaricato del trattamento, a seconda dei casi, e (ii) i trasferimenti dei Dati di utilizzo che Couchbase effettuerà in qualità di responsabile del trattamento.

1) Dati del cliente
Durata
La durata del trattamento dei dati ai sensi del presente DPA è fino alla cessazione dell'Accordo in conformità ai suoi termini più il periodo dalla scadenza dell'Accordo fino alla cancellazione dei dati personali da parte di Couchbase in conformità ai termini dell'Accordo (compreso il presente DPA).

Categorie di dati
I dati personali da trattare riguardano le seguenti categorie di dati (specificare):
● Dati personali nel Contenuto del cliente o nel Contenuto dell'assistenza: Dati Personali inclusi in contenuti o dati forniti da o per conto del Cliente o degli Utenti Autorizzati da o attraverso il Servizio Cloud.

Categorie particolari di dati (se del caso)
Le parti non intendono trattare dati di categoria speciale nell'ambito dell'accordo.

Soggetti interessati
I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):
● Data subjects include individuals about whom data is provided to Couchbase via the Cloud Service by or at the direction of Customer, including Authorized Users. Data subjects may include Customer’s customers, employees, suppliers and end-users.

Operazioni di lavorazione
I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):
● processing to provide the Cloud Service in accordance with the Agreement;
● l'elaborazione per eseguire qualsiasi operazione necessaria per l'esecuzione del Contratto;
● l'elaborazione avviata dal Cliente nell'utilizzo del Servizio Cloud; e
● processing to comply with other reasonable instructions provided by Customer (e.g. via email or support tickets) that are consistent with the terms of the Agreement.

Frequenza
I dati personali possono essere trasferiti in modo continuativo.

ii) Usage Data

Durata
I Dati di utilizzo sono trasferiti e conservati per la durata del relativo Contratto più il periodo in cui i Dati di utilizzo sono necessari per i legittimi sforzi commerciali di Couchbase. Alcuni record aggregati e anonimizzati delle azioni degli utenti possono essere conservati in modo permanente.

Categorie di dati
I dati personali da trasferire riguardano le seguenti categorie di dati (specificare):

● Dati Personali in Dati di Utilizzo: I Dati di utilizzo possono includere informazioni sull'account dell'utente, tra cui l'ID dell'account e l'indirizzo e-mail; informazioni di identificazione personale, tra cui l'indirizzo IP; informazioni sull'occupazione; informazioni di contatto; informazioni sul browser e metadati.

Categorie particolari di dati (se del caso)
Le parti non intendono trasferire alcun dato di categoria speciale nell'ambito dell'Accordo.

Soggetti interessati
I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):
● Data subjects may include Customer, Customer’s employees and other Authorized Users and any other permitted collaborators.

Operazioni di lavorazione
I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):
● Processing to provide and administer the products, services and support;
● Processing to derive insights in order to improve the products, services and support and support business development;
● Processing to engage and respond to customer questions, perform marketing and sales activities, and analyze business metadata.

Frequenza
I dati personali possono essere trasferiti in modo continuativo.

Il presente Allegato descrive le Misure di Sicurezza di Couchbase. Il Cliente riconosce che il Servizio Cloud opera secondo un modello di responsabilità condivisa, che richiede, tra l'altro, che il Cliente adotti determinate misure quali la protezione della sicurezza del Contenuto del Cliente (che rimane memorizzato all'interno dell'ambiente del Cliente sotto il suo controllo). Se e nella misura in cui Couchbase tratta i Dati del Cliente per conto del Cliente in relazione al Servizio Cloud o trasferisce qualsiasi Dato d'Uso soggetto alle Clausole Contrattuali Standard, Couchbase implementa e mantiene le seguenti Misure di Sicurezza:

Misure di crittografia dei dati
● All customer data is encrypted in-transit using TLS 1.2 (or higher) and encrypted at-rest using AES-256 encryption.
● Employee laptops are encrypted using full disk AES-256 encryption.
● All credentials are encrypted in transit using TLS 1.2 (or higher) and encrypted at-rest.
● Encryption keys are rotated on an annual basis and are stored and managed by the cloud service provider selected by Customer.

Misure di disponibilità e recuperabilità
Couchbase mantiene piani e procedure di Disaster Recovery e Business continuity che sono progettati per garantire ragionevolmente la disponibilità del Servizio Cloud.
L'offerta Couchbase Capella è distribuita in data center distribuiti geograficamente e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).
La ridondanza è integrata nell'infrastruttura di sistema che supporta l'offerta Couchbase Capella. In caso di guasto di un sistema primario, l'infrastruttura ridondante in un'altra zona di disponibilità è configurata per prendere il suo posto.
I backup sono archiviati in ambienti controllati all'interno dell'infrastruttura cloud. L'accesso logico ai dati di backup è limitato al personale appropriato ed è memorizzato in archivi ad alta disponibilità.
● On an annual basis, a backup restoration test is performed where operations personnel restore a backup from a snapshot to ensure that data could be recovered in the event of an incident.

Misure di sicurezza organizzative
Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.
● Employees are required to undergo Anti-Bribery & Corruption, Ethics and Code of Conduct, Insider Trading, Global Data Privacy and annual Security Awareness Training.
● Employees are required to sign non-disclosure and Confidentiality agreements upon hire.
● Formal policies and procedures are in place for employee onboarding and offboarding activities. Account provisioning and de-provisioning processes are defined and implemented.
● Employee access is removed upon termination or adjusted as required as a result of  role change.
● Multi-factor Authentication (MFA) is enforced for access to critical and production resources.
● Password complexity requirements are enforced.
● Segregation of responsibilities and duties is implemented to reduce opportunities for unauthorized or unintentional modification or misuse.
● Couchbase maintains signed non-disclosure agreements with third parties.
● Couchbase networks are segregated based on trust levels and protected by firewalls.

Misure di registrazione e monitoraggio
● Logging of user activities, exceptions, faults, and information security events are enabled. Logs are retained, as necessary.
● All logs can be accessed only by authorized Couchbase employees and access controls are in place to prevent unauthorized access.
● Write access to logging data is strictly prohibited. Logging facilities and log information are protected against tampering and unauthorized access through use of access controls and security measures.
● Couchbase has various monitoring measures in place to generate security alerts and identify irregular activity.
● The Couchbase Capella operations team regularly reviews security alerts and their underlying configuration to ensure they are operating as intended and that controls are modified as conditions change.

Misure di controllo degli accessi
● Couchbase implements security best practices and uses a role-based security architecture across the database, network, and application layers and strictly follows principles of least privilege when granting access to key systems.
● Couchbase has defined job functions and roles to support proper segregation of duties.
● Access to operational, production and disaster recovery environments is protected by use of unique user accounts, strong passwords, use of Multi-Factor Authentication (MFA), role-based access, and principle of least privileges.
● Access keys used by production Couchbase applications (e.g. AWS Access Keys) are accessible only to authorized personnel. They are rotated (changed) as required (e.g., pursuant to a security advisory or personnel departure) and at least yearly.
● User activity in operational environments including access, modification or deletion of data is logged.
● Authorization requests and provisioning is logged, tracked and audited.
● Web Application Firewalls (WAF), in addition to the network-based firewalls, are deployed.

Misure di sicurezza fisica
L'offerta Couchbase Capella è distribuita in data center distribuiti geograficamente e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).
● Physical access to all facilities containing sensitive data is restricted and managed.
● All information resource facilities (e.g. network closets and storerooms) are physically protected in proportion to the criticality or importance of their function.
● Access to information resource facilities is granted only to company personnel and contractors whose job responsibilities require access to those facilities.
● All information resource facilities that allow access to visitors are configured to track visitor access with a sign-in log.
● Card access records and visitor logs for information resource facilities are kept for routine review based upon the criticality of the information resources being protected.
● Equipment is protected to reduce the risks from environmental threats, hazards, and opportunities for unauthorized access.

Configurazioni di sistema sicure
● Couchbase has a Change Management policy and procedure in place.
● Couchbase monitors changes to in-scope systems to ensure that the applicable standard process is followed and to mitigate any risk of un-detected changes to production. Changes are tracked in the change management system.
● Access Control policy and procedures are in place to prevent unauthorized changes.
● Mobile device management controls are in place.

La governance
Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.
● Couchbase has in place a documented and approved information security policy, including supporting documentation.
● The authority and responsibility for managing Couchbase’s information security program has been delegated to Information Security and Compliance Group, who is authorized by senior management to take actions necessary to establish, implement, and manage Couchbase’s information security program.

Conformità
● Couchbase is audited by an independent third-party auditor and has achieved SOC 2 Type 1 compliance, attesting to our commitment to controls that safeguard the confidentiality and availability of information stored and processed in the Couchbase Capella service.

Accesso minimo ai dati
● Privacy assessments are performed related to implementation of new products/services and processing of personal data by third parties.
● Data collection is limited to the purposes of the processing (or the data that the customer chooses to provide).
● Security measures are in place to provide only the minimum amount of access necessary to perform required functions.
● Data retention requirements are identified
● Access to personal data is restricted to the personnel involved in the processing, adhering to the “need to know” principle, and according to defined roles and responsibilities of the individuals.

Misure di responsabilità
● Customer Privacy Assessments are required when introducing any new product/service that involves processing of personal data.
● Data protection impact assessments are part of any new processing initiative.

Richieste di accesso ai dati
● Data subjects are eligible to request the export of their personal data in an industry standard format.
● Processes are in place that allow individuals to exercise their privacy rights (e.g. right of erasure or right to data portability), as described in Couchbase’s publicly available Privacy Policy.

Couchbase continuerà ad analizzare la recente guida del Comitato europeo per la protezione dei dati sulle misure supplementari per soddisfare il requisito di adeguatezza del GDPR, e qualsiasi altro documento emesso dalle autorità europee per la protezione dei dati che si presenterà.

Il presente Allegato stabilisce i termini e le condizioni che si applicano quando l'uso del Servizio Cloud da parte del Cliente richiede un meccanismo di trasferimento successivo per trasferire legalmente i dati personali da una giurisdizione a Couchbase situata al di fuori di tale giurisdizione.

1. Le clausole contrattuali standard 2021. Per i trasferimenti di dati soggetti al GDPR e/o all'IFPD svizzero, le Clausole Contrattuali Standard 2021 si applicano nel modo seguente:

a. Il Modulo Uno (da controllore a controllore) si applicherà nel caso in cui il Cliente sia un controllore dei Dati di Utilizzo e Couchbase sia un controllore dei Dati di Utilizzo.
b. Il Modulo Due (Controller to Processor) si applicherà nel caso in cui l'Utente sia un controller dei Dati dell'Utente e Couchbase sia un processore dei Dati dell'Utente;
c. Il Modulo Tre (da elaboratore a elaboratore) si applicherà nel caso in cui l'Acquirente sia un elaboratore dei Dati dell'Acquirente e Couchbase sia un sub-elaboratore dei Dati dell'Acquirente;
d. Per ogni modulo, se applicabile:

(i) in Clause 7, the optional docking clause will apply and the parties shall cooperate in good faith to take the necessary steps to apply the 2021 Standard Contractual Clauses to another party;
(ii) nella Clausola 9, si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al subprocessore sarà quello stabilito nella Sezione 3 (Subprocessing) del presente DPA;
(iii) nella clausola 11, la lingua opzionale non si applica;
(iv) nella Clausola 17 (Opzione 1), le Clausole Contrattuali Standard 2021 saranno disciplinate dalla legge dello Stato membro dell'UE in cui è stabilito l'Esportatore di Dati e, in mancanza di tale legge, dalla legge irlandese; a condizione che, per quanto riguarda qualsiasi trasferimento di dati soggetti alle leggi sulla protezione dei dati di un paese al di fuori del SEE in cui l'autorità competente ha approvato l'uso delle Clausole Contrattuali Standard 2021 (compresa, ma non solo, la Svizzera) (un "Paese adottante"), le Clausole Contrattuali Standard 2021 saranno disciplinate dalle leggi sulla protezione dei dati del Paese di adozione.
(v) nella Clausola 18(b), le controversie saranno risolte dai tribunali dello Stato membro dell'UE in cui ha sede l'Esportatore di dati e, in mancanza di tale legge, dai tribunali della Repubblica d'Irlanda; a condizione che, in relazione a qualsiasi trasferimento di dati soggetto alle leggi sulla protezione dei dati di un Paese adottante, qualsiasi controversia derivante dalle Clausole contrattuali standard 2021 sarà risolta dai tribunali del Paese adottante.
(vi) Nell'allegato I, parte A: 

Data Exporter: Il Cliente e le sue affiliate autorizzate.

Contact Details: L'indirizzo o gli indirizzi e-mail del Cliente specificati come account per ricevere le comunicazioni nell'ambito del Servizio Cloud.

Data Exporter Role: Customer is the controller or processor of Customer Data, as applicable, and controller of Usage Data
Attività rilevanti per i dati trasferiti: Ricezione di software e servizi da Couchbase e dalle sue affiliate.

Signature & Date: Con la stipula dell'Accordo e del DPA, si ritiene che l'Esportatore di Dati abbia sottoscritto le presenti Clausole Contrattuali Standard qui incorporate, compresi i relativi Allegati, alla data di entrata in vigore del DPA.

Data Importer: Couchbase, Inc.

Contact Details: Couchbase Legal Team – legal@couchbase.com

Data Importer Role: Couchbase is the processor or sub-processor of Customer Data, as applicable, and controller of Usage Data
Attività rilevanti per i dati trasferiti: Fornitura di software e servizi

Signature & Date: By entering into the Agreement and DPA, Data Importer is deemed to have signed these Standard Contractual Clauses, incorporated herein, including their Annexes, as of the Effective Date of the DPA.

(vii) Nell'allegato I, parte B:
Le categorie di soggetti interessati sono descritte nell'Allegato A della presente DPA.

I dati sensibili trasferiti sono descritti nell'Allegato A del presente DPA.

La frequenza del trasferimento è continua per tutta la durata del Contratto.

La natura del trattamento è descritta nell'Allegato A del presente DPA.

Le finalità del trattamento sono descritte nell'Allegato A della presente DPA.

La durata del trattamento è descritta nell'Allegato A della presente LPD.

Per i trasferimenti a subelaboratori, l'oggetto, la natura e la durata del trattamento sono indicati in https://info.couchbase.com/cloud-subprocessors.html

(viii) In Annex I, Part C: The supervisory authority of the EU member state specified in Section 1(d)(iv) above shall act as competent supervisory authority; provided that with respect to any transfers of data subject to the data protection laws of an Adopting Country, the supervisory authority is the data protection authority of the Adopting Country.

(ix) Annex B of this DPA serves as Annex II of the Standard Contractual Clauses.

4. Termini in conflitto. In caso di conflitto tra le Clausole contrattuali standard e qualsiasi altro termine del presente DPA, prevarranno le disposizioni delle Clausole contrattuali standard.