Logo G-P​​ 
Richiedi un preventivo​​ 

Linguaggio sulla Privacy MSA​​ 

Ultimo aggiornamento: 26giugno 2026​​ 

ADDENDUM SULLA PROTEZIONE DEI DATI​​ 

Il Cliente e G-P sono Parti di un Contratto Quadro o di un accordo di natura e finalità analoghe (di seguito "Contratto Quadro"). Il presente Accordo sul trattamento dei dati integra i termini e le condizioni del Contratto quadro e ne costituisce parte integrante. In caso di conflitto tra il presente Accordo sul trattamento dei dati personali e qualsiasi altro accordo tra le Parti in merito alle questioni ivi indicate, prevarrà il presente Accordo. Qualora il Cliente disponga già di un addendum sulla protezione dei dati in vigore con G-P, tale accordo prevarrà sul presente DPA, che sarà quindi privo di validità ed efficacia, salvo diverso accordo scritto tra il Cliente e G-P.​​ 
 

1. DEFINIZIONI​​  

I termini non definiti in questo documento hanno i significati stabiliti nell'Accordo Funebre. Le seguenti parole in questo DPA hanno i seguenti significati:​​ 
1.1 "​​ Utente autorizzato​​ "Persona autorizzata dal Cliente, che può includere un dipendente e/o un collaboratore del Cliente, ad accedere e utilizzare il GPP per conto del Cliente, ai sensi dell'esecuzione del Contratto Quadro."​​ 
1.2 "​​ Dati dei clienti​​ Per "Dati Personali" si intendono tutti i Dati Personali relativi a qualsiasi Utente Autorizzato o persona fisica identificabile che vengono trasferiti, elaborati o archiviati da G-P per conto del Cliente in relazione ai Servizi per l'utilizzo del GPP da parte del Cliente.​​ 
1.3 "​​ Protezione dei dati​​  Leggi​​ Per "Legge sulla protezione dei dati" si intendono tutte le leggi sulla protezione dei dati e sulla privacy a cui una parte del presente Contratto è soggetta e che sono applicabili ai Servizi forniti, incluse, ove applicabile, ma non limitate a, il Regolamento generale sulla protezione dei dati, il Regolamento generale sulla protezione dei dati del Regno Unito, le leggi svizzere sulla protezione dei dati, le leggi statunitensi sulla privacy (incluse le leggi statali e federali) e la LGPD brasiliana.​​ 
1.4 "​​ Employer of Record​​ " significa Employer of Record.​​ 
1.5 "​​ Regolamento generale sulla protezione dei dati​​ " indica il Regolamento generale sulla protezione dei dati (UE) 2016/679.​​ 
1.6 "​​ GPP​​ " significa il software proprietario di G-P, inclusi senza limitazioni, il software, la versione mobile, qualsiasi software in esso contenuto e qualsiasi dato reso disponibile tramite l'uso sia del software proprietario di G-P sia dei servizi di terze parti, inclusi i loro aggiornamenti, aggiornamenti, piattaforma come servizio e documentazione.​​ 
1.7 "​​ EEA​​ " indica lo Spazio economico europeo.​​ 
1.8 "​​ LGPD​​ " significa Legge brasiliana n. 13.709, la Legge Generale sulla Protezione dei Dati Personali, come può essere modificata, sostituita o sostituita.​​ 
1.9 "​​ Informativa sulla privacy​​ " significa che l'informativa sulla privacy di G-P, aggiornata di tanto in tanto, è disponibile su​​   
1.10 "​​ Dati dei Professionisti​​ " significa i dati personali dei professionisti trattati da G-P nel corso della fornitura di servizi di Employer of Record al cliente.​​ 
1.11 "​​ Trasferimento Limitato"​​  significa qualsiasi trasferimento di dati personali verso un paese al di fuori del SEE, Regno Unito, Svizzera o Brasile che non sia soggetto a una decisione di adeguatezza ai sensi delle leggi sulla protezione dei dati applicabili, e che richieda quindi adeguate salvaguardie ai sensi delle leggi applicabili sulla protezione dei dati.​​ 
1.12 "​​ Servizi”​​  Significare​​  i servizi​​  da fornire da G-P al Cliente ai sensi del Contratto Quadro, che può includere la fornitura di servizi di Employer of Record e l'accesso e l'utilizzo di GPP.​​ 
1.13 "​​ Clausole Contrattuali Standard"​​  oppure​​  "SCCs"​​  significa (i) laddove si applichi il Regolamento generale sulla protezione dei dati, le clausole contrattuali standard allegate alla decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021 clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, disponibili all'indirizzo​​   ("ECC UE"); (ii) quando si applica il Regolamento generale sulla protezione dei dati del Regno Unito, le clausole standard applicabili sulla protezione dei dati adottate ai sensi dell'Articolo 46(2)(c), oppure (d) quando il Regolamento generale del Regno Unito sulla protezione dei dati indica l'Addendum sul trasferimento dei dati internazionale ("Addendum del Regno Unito") alle Clausole Contrattuali Standard dell'UE emesse dall'Ufficio del Commissario per l'Informazione ai sensi dell'articolo119A(1) del Data Protection Act 2018, in quanto tale Addendum del Regno Unito possono essere rivisti ai sensi della Sezione 18 in esso ("SCC del Regno Unito"); (iii) quando si applicano le leggi svizzere sulla protezione dei dati, le clausole standard applicabili sulla protezione dei dati emesse, approvate o riconosciute dall'Ufficio del Commissario Federale per la Protezione dei Dati e dell'Informazione (i "CSC svizzeri"); Dove si applica la LGPD brasiliana, le clausole contrattuali standard applicabili, allegate alla Risoluzione CD/ANPD n. 19/2024 promulgate dall'Autorità Nazionale Brasiliana per la Protezione dei Dati ("ANPD"), poiché possono essere modificate di volta in volta ("SCC brasiliani").​​ 
1.14 "​​ Leggi svizzere sulla protezione dei dati​​ " oppure​​  "FADP"​​  significa (i) Legge federale svizzera sulla protezione dei dati ("​​ FDPA​​ ”); (ii) L'Ordinanza sulla Legge Federale sulla Protezione dei Dati ("​​ FODP​​ “); e (iii) qualsiasi legge nazionale sulla protezione dei dati emanata ai sensi, in conformità a, che sostituisce o succede e qualsiasi legislazione che sostituisca o aggiorni una qualsiasi delle precedenti.​​ 
1.15 "​​ Addendum del Regno Unito​​ " indica l'addendum del Regno Unito sul trasferimento internazionale dei dati alle Clausole Contrattuali Standard dell'UE, emesso dal Garante per la protezione dei dati del Regno Unito.​​ 
1.16 "​​ Leggi britanniche sulla protezione dei dati​​  intendono il Regolamento generale sulla protezione dei dati come conservato nella legge del Regno Unito in virtù della sezione 3 del Withdrawal Act 2019 dell'Unione Europea del Regno Unito ("UK Regolamento generale sulla protezione dei dati") e del Data Protection Act 2018 (insieme "UK Data Protection Laws").​​ 
1.17 "​​ Leggi sulla privacy negli Stati Uniti​​ "indica le leggi, ordini, regolamenti e linee guida normative applicabili degli Stati Uniti (USA) relativi al trattamento dei dati personali, inclusi senza limitazioni: (a) la CCPA; (b) la Legge sulla Protezione dei Dati dei Consumatori della Virginia; (c) il Colorado Privacy Act; (d) la legge del Connecticut relativa alla privacy dei dati e al monitoraggio online; (e) la Legge sulla Privacy dei Consumatori dello Utah; e (f) tutte leggi statali simili.​​ 
1.18 "​​ Responsabile" "Soggetto Dati", "Dati personali", "Informazioni personali" "Violazione dei dati", "Trattatore", "Processo/Trattamento", "Trasferimento Limitato", "Fornitore di servizi"​​  e/o qualsiasi altro termine e concetto simile avrà i significati definiti nelle Leggi sulla Protezione dei Dati.​​ 
 
 

2. RELAZIONE TRA CONTROLLER INDIPENDENTE E CONTROLLER​​  

2.1​​  Ruoli delle parti.​​  Quando G-P fornisce al Cliente servizi di Employer of Record, G-P assume il ruolo di datore di lavoro legale per qualsiasi individuo selezionato dal Cliente ("Professionale") da assumere. Per quanto riguarda i dati personali di tali professionisti, G-P è un Responsabile indipendente durante il periodo di rapporto di lavoro. Per quanto riguarda i dati personali del Professionista raccolti e utilizzati dal Cliente per i propri scopi, il Cliente è anche un Responsabile Indipendenti, con obblighi di privacy indipendenti. Quando si fornisce i servizi di Employer of Record, lo scambio di dati personali dei professionisti tra G-P e il Cliente avviene in una relazione indipendente Controller-to-Controller e si applicano le disposizioni di questa sezione 2 ("Relazione Indipendente Controller-Controller"). In nessun caso le Parti elaboreranno i dati personali ai sensi di questa DPA in qualità di Responsabili congiunti (Controller congiunti).​​ 
2.2​​  Responsabilità e ringraziamenti​​ Le Parti, nella loro qualità di Titolari del trattamento, dovranno:​​ 
2.2.1 Rispettare le leggi sulla protezione dei dati applicabili in materia di trattamento dei dati personali dei professionisti.​​ 
2.2.2 Trattare e condividere i Dati Personali dei Professionisti in modo equo e lecito allo scopo (a seconda dei casi) di eseguire o ricevere i Servizi del Datore di Lavoro di Riferimento per i propri legittimi interessi.​​ 
2.2.3 Garantire che si applichi un motivo legale di trattamento per qualsiasi condivisione dei dati personali del professionista tra le Parti.​​ 
2.2.4 Assistersi reciprocamente nel rispetto dei rispettivi obblighi previsti dalle leggi sulla protezione dei dati, incluso, a titolo esemplificativo, l'assistenza reciproca in caso di violazione dei dati e la risposta alle richieste degli interessati e/o delle autorità di controllo.​​  
 

3. RELAZIONE TRA CONTROLLORE E PROCESSORE​​ 

3.1​​  Ruoli delle parti​​ . G-P offre inoltre vari prodotti software come servizio tramite GPP, attraverso i quali G-P consente al Cliente di gestire il rapporto con quei Professionisti. Quando G-P fornisce al Cliente l'accesso a GPP, G-P è il Responsabile dei Dati Personali relativi all'account caricati al GPP dagli Utenti Autorizzati nominati dal Cliente e il Cliente è il Responsabile di tali dati e, si applicano le disposizioni di questa sezione 3 ("Rapporto Controller-Processore").​​ 
3.2​​  Istruzioni.​​  G-P tratterà i Dati del Cliente in conformità con le istruzioni documentate del Cliente.  Il Cliente accetta che il presente Accordo sul trattamento dei dati, il Contratto quadro e l'Allegato I qui di seguito allegati, costituiscono le istruzioni complete del Cliente a G-P in merito al trattamento dei Dati del Cliente.  Qualsiasi istruzione aggiuntiva o alternativa deve essere concordata per iscritto tra le Parti, compresi i costi (se presenti) associati all'adempimento di tali istruzioni.  Il cliente garantirà che le proprie istruzioni siano conformi alle leggi applicabili in materia di protezione dei dati. Il cliente riconosce che G-P non è responsabile della determinazione delle leggi applicabili alla sua attività. Il Cliente garantirà che il trattamento dei Dati del Cliente da parte di G-P, se effettuato in conformità con le istruzioni del Cliente, non comporti per G-P la violazione di alcuna legge applicabile, comprese le leggi applicabili in materia di protezione dei dati. Tuttavia, se G-P ritiene che un'istruzione del Cliente violi le leggi applicabili in materia di protezione dei dati, G-P dovrà informare il Cliente non appena ragionevolmente possibile e non sarà tenuta a conformarsi a tale istruzione illecita.​​  
3.3​​  Dettagli dell'elaborazione​​ . I dettagli sull'oggetto trattato dal Trattamento, la sua durata, natura e scopo, nonché il tipo di dati del cliente e dei soggetti dati sono specificati nell'Allegato I qui allegato.​​   
3.4​​  Conformità.​​  Il Cliente e G-P concordano di rispettare i rispettivi obblighi previsti dalle Leggi sulla Protezione dei Dati applicabili ai Dati del Cliente trattati come specificato nell'Allegato I. Il Cliente è l'unico responsabile del rispetto delle Leggi sulla Protezione dei Dati in merito alla liceità del Trattamento dei Dati del Cliente prima di divulgare, trasferire o rendere altrimenti disponibili a G-P qualsiasi Dato del Cliente.  Per maggiore chiarezza, in ogni caso il Cliente dovrà ottenere, ove richiesto, tutti i consensi necessari dagli interessati affinché G-P possa elaborare i Dati del Cliente secondo le istruzioni fornite dal Cliente stesso.​​ 
3.5​​  Sottoprocessori​​ Il Cliente autorizza G-P a nominare e utilizzare Responsabili del trattamento ("Sub-responsabili del trattamento") per elaborare i Dati del Cliente in relazione ai Servizi.  I subappaltatori possono includere terze parti o qualsiasi società del gruppo G-P . G-P può continuare ad avvalersi dei subappaltatori già incaricati alla data del presente G-P sul trattamento dei dati; un elenco di tali subappaltatori è disponibile nell'Allegato III qui di seguito allegato. Qualora un Sub-responsabile del trattamento non adempia ai propri obblighi in materia di protezione dei dati come specificato sopra, G-P sarà responsabile nei confronti del Cliente per l'adempimento degli obblighi del Sub-responsabile del trattamento. G-P informerà il Cliente di qualsiasi modifica al suo elenco di subappaltatori tramite GPP. Se, entro 10 (dieci) giorni dal ricevimento di tale avviso, il Cliente si oppone legittimamente all'aggiunta o alla rimozione di un Sub-responsabile del trattamento per motivi di protezione dei dati e G-P non può ragionevolmente accogliere l'obiezione del Cliente, le Parti discuteranno in buona fede le preoccupazioni del Cliente al fine di risolvere la questione.​​ 
3.6​​  Misure di sicurezza tecniche e organizzative​​ . Tenendo conto degli standard di settore, dei costi di implementazione, della natura, dell'ambito, del contesto e degli scopi del trattamento e di qualsiasi altra circostanza rilevante relativa al trattamento dei dati dei clienti, G-P implementerà misure di sicurezza tecniche e organizzative appropriate per garantire sicurezza, riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di elaborazione coinvolti nel trattamento dei dati dei clienti in corrispondenza al rischio riguardo a tali dati dei clienti, come dettagliato nell'Allegato II qui allegato.  G-P testerà periodicamente (i) l'efficacia delle sue salvaguardie, controlli, sistemi e procedure e (ii) identificherà rischi interni ed esterni ragionevolmente prevedibili per la sicurezza, la riservatezza e l'integrità dei Dati dei Clienti, assicurando che tali rischi vengano affrontati.​​  
3.7​​  Riservatezza​​ . G-P deve garantire che le persone autorizzate ad accedere ai Dati del Cliente (i) si siano impegnate alla riservatezza o siano soggette a un opportuno obbligo statutario di riservatezza e (ii) accedano ai Dati del Cliente solo su istruzioni documentate da G-P, salvo richiesta della legge applicabile.​​ 
3.8​​  Violazione dei dati personali.​​  G-P informerà il Cliente senza indebito ritardo dopo essere venuta a conoscenza di una violazione dei dati relativa al trattamento dei dati del Cliente e si adopererà con ogni ragionevole sforzo per assistere il Cliente nel mitigare, ove possibile, gli effetti negativi di qualsiasi violazione dei dati.​​ .​​ 
3.9​​  Cancellazione dei dati personali.​​   Al momento dello scioglimento del contratto di lavoro dei Servizi (per qualsiasi motivo), G-P restituirà o cancellare i dati del cliente memorizzati nel GPP a meno che la legge applicabile non richieda la conservazione dei dati del cliente per un periodo più lungo. Per tale conservazione, le disposizioni di questa DPA continueranno ad applicarsi a tali dati del cliente.​​ 
3.10​​  Richieste di Soggetti Dati​​ .  G-P informerà tempestivamente i Clienti di qualsiasi richiesta dei Soggetti Dati riguardanti i Dati Clienti. Il cliente è responsabile di rispondere a tali richieste. G-P assisterà ragionevolmente il Cliente a rispondere a tali richieste del Soggetto Dati nella misura in cui il Cliente non sarà in grado di accedere ai Dati Clienti rilevanti nell'uso del GPP.​​  
3.11​​  Richieste di terzi​​ . Se G-P riceve richieste da terzi o un ordine di qualsiasi tribunale, tribunale, ente regolatore o ente governativo con giurisdizione competente a cui G-P è soggetto riguardo al trattamento dei dati dei clienti ai sensi dell'Accordo, G-P reindirizzerà prontamente la richiesta al Cliente. G-P non risponderà a tali richieste senza l'autorizzazione preventiva del Cliente, salvo che la legge non sia obbligata a farlo. G-P, salvo proibizione legale, informerà il Cliente in anticipo della divulgazione dei Dati del Cliente e collaborerà ragionevolmente con il Cliente per limitare l'ambito di tale divulgazione a quanto richiesto legalmente.​​   
3.12​​  Valutazione dell'impatto sulla protezione dei dati e consultazioni precedenti​​ . Nella misura prevista dalle Leggi sulla Protezione dei Dati, G-P deve fornire un supporto ragionevole al Cliente per effettuare una valutazione dell'impatto sulla protezione dei dati relativi al trattamento dei dati dei clienti effettuato da G-P e/o a qualsiasi consultazione preventiva richiesta con le autorità di supervisione. G-P si riserva il diritto di addebitare al Cliente una tariffa ragionevole per la fornitura di tale assistenza.​​ 
3.13​​  Revisione.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Leggi sulla privacy negli Stati Uniti.​​  Ai sensi di questa sezione 3, le Parti concordano che G-P è un "Fornitore di Servizi" o "Processore" come definiti dalle leggi sulla privacy statunitensi applicabili. Di conseguenza, nella misura in cui le leggi statunitensi sulla privacy si applicano al trattamento dei dati dei clienti da parte di G-P, G-P non deve (a) trattenere, utilizzare o divulgare alcun Dati del Cliente al di fuori del rapporto commerciale diretto tra G-P e Cliente, o per qualsiasi scopo diverso dallo scopo previsto nell'Allegato I allegato qui, e G-P deve Processare i Dati del Cliente solo finché fornisce servizi al Cliente; (b) vendere qualsiasi Dati Cliente; (c) condividere qualsiasi Dati del Cliente; oppure (d) combinare i dati del cliente che G-P riceve da, o per conto di esso, con i "dati personali" (come definito dal termine o equivalente dalle leggi sulla protezione dei dati applicabili) che riceve da, o per conto di, un'altra persona, o raccoglie dalla propria interazione con un consumatore, a condizione che G-P possa combinare i dati del cliente se rientra nell'ambito della fornitura dei servizi al cliente. Dove applicabile, ciascuna Parte deve notificare l'altra parte se determina di non poter più adempiere ai propri obblighi previsti dalle leggi sulla privacy statunitensi.​​ 
 

4. TRASFERIMENTI INTERNAZIONALI DI DATI​​ 

4.1​​  Protezione adeguata​​ G-P è autorizzata, nel normale svolgimento della propria attività, a trasferire i Dati del Cliente a livello mondiale alle proprie società affiliate e/o ai propri subappaltatori.  Quando effettua tali trasferimenti verso un territorio che non è stato riconosciuto dalle autorità competenti in materia di protezione dei dati come in grado di fornire un livello adeguato di protezione dei Dati Personali ai sensi delle leggi sulla protezione dei dati, G-P si impegna a garantire che siano in atto misure di protezione appropriate per salvaguardare i Dati del Cliente trasferiti ai sensi o in relazione al Contratto Quadro.​​ 
4.2​​  Quadro di Privacy dei Dati.​​  Professionisti​​  e i dati dei clienti sono archiviati in GPP, che è ospitato negli Stati Uniti. G-P è certificato secondo il Quadro sulla Privacy dei Dati UE-U.S. (EU-U.S. DPF) e, se applicabile, l'Estensione UK all'UE-U.S. DPF e la Swiss-U.S. Quadro sulla Privacy dei Dati (Svizzera-USA) DPF). La certificazione di G-P può essere confermata pubblicamente sul sito web del DPF​​   . Il quadro normativo sulla privacy dei dati UE-USA è stato considerato adeguato dalla Commissione Europea, essendo un meccanismo legittimo di trasferimento dei dati ai sensi rispettivamente dell'articolo 45 del Regolamento generale sulla protezione dei dati, del Regolamento generale sulla protezione dei dati del Regno Unito e della FADP. Qualora il/i quadro/i DPF vengano invalidati, sospesi o non siano più riconosciuti come in grado di fornire una protezione adeguata per i trasferimenti internazionali di dati, il Responsabile del trattamento si impegna a stipulare e rispettare le Clausole Contrattuali Standard (SCC) emesse o approvate dalla Commissione europea, dall'Ufficio del Garante per la protezione dei dati del Regno Unito (ICO) o dal Garante federale svizzero per la protezione dei dati e la trasparenza (FDPIC), a seconda dei casi. Le Parti coopereranno in buona fede per attuare tutte le misure supplementari necessarie a garantire un livello di protezione sostanzialmente equivalente per i dati trasferiti.​​ 
4.3​​  Clausole contrattuali standard.​​  Le Parti concordano che quando il trasferimento di dati personali dal Cliente (come "esportatore di dati") a G-P (come "importatore di dati") è un Trasferimento Limitato e le leggi sulla protezione dei dati applicabili richiedono che vengano adottate adeguate salvaguardie, tale trasferimento sarà soggetto alle appropriate Clausole Contrattuali Standard, che saranno considerate incorporate e fanno parte di questa DPA, Come segue:​​ 
a. In relazione ai trasferimenti di dati personali tutelati dal Regolamento generale sulla protezione dei dati, si applicano i CSC dell'UE, completati come segue:​​ 
i. Si applicano i moduli uno e due;​​ 
ii. nella clausola 7, si applicherà la clausola opzionale di attracco;​​ 
iii. nella Clausola 9 del Modulo Due, si applicherà l'Opzione 2 , e il periodo di tempo per la preavvisa delle modifiche al Subprocessore sarà come previsto nella sezione 3.5 di questo DPA;​​ 
iv. nella clausola 11, il linguaggio facoltativo non verrà applicato;​​ 
v. nella Clausola 12, qualsiasi reclamo presentato ai sensi delle Condizioni Generali di Contratto dell'UE sarà soggetto ai termini e alle condizioni stabiliti nel Contratto Quadro;​​ 
vi. nella clausola 17, si applicherà l'opzione 1 e i CSC dell'UE saranno regolati dalla legge irlandese;​​ 
vii. nella clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;​​ 
viii. L'Allegato I dei CSC UE sarà considerato completato con le informazioni contenute nell'Allegato 1 di questa DPA; e​​ 
ix. L'Allegato II dei SCC UE sarà considerato completato con le informazioni contenute nell'Allegato 2 a questa DPA;​​ 
x. L'Allegato III del Modulo Due dei SCC UE sarà considerato completato con le informazioni fornite nell'Allegato 3 a questo DPA.​​ 
B. In relazione ai trasferimenti di dati personali protetti dalle leggi sulla protezione dei dati del Regno Unito o dalle leggi sulla protezione dei dati svizzere, si applicheranno le clausole contrattuali standard dell'UE, come attuate ai sensi del paragrafo (a) di cui sopra, con le seguenti modifiche:​​ 
i. i riferimenti al "Regolamento (UE) 2016/679" devono essere interpretati come riferimenti alle leggi britanniche sulla protezione dei dati o alle leggi svizzere sulla protezione dei dati (a seconda dei conti);​​ 
ii. i riferimenti a specifici articoli del "Regolamento (UE) 2016/679" devono essere sostituiti con l'articolo o la sezione equivalente della Legge sulla Protezione dei Dati del Regno Unito o delle Leggi svizzere sulla protezione dei dati (se applicabile);​​ 
iii. i riferimenti a "UE", "Unione", "Stato membro" e "diritto dello Stato membro" saranno sostituiti con riferimenti a "Regno Unito" o "Svizzera", o "diritto del Regno Unito" o "diritto svizzero" (a seconda dei casi);​​ 
iv. il termine "stato membro" non deve essere interpretato in modo da escludere i soggetti dati nel Regno Unito o in Svizzera dalla possibilità di agire per ottenere i loro diritti nel luogo di residenza abituale (cioè Regno Unito o Svizzera);​​ 
v. La clausola 13(a) e la Parte C dell'Allegato I non sono utilizzate e l'"autorità di supervisione competente" è il Commissario all'Informazione del Regno Unito o il Commissario Federale Svizzero per l'Informazione per la Protezione dei Dati (a seconda dei casetti);​​ 
vi. i riferimenti all'"autorità di controllo competente" e ai "tribunali competenti" sono sostituiti dai riferimenti al "Commissario per la protezione dei dati" e ai "tribunali di Inghilterra e Galles" oppure al "Commissario federale svizzero per la protezione dei dati" e ai "tribunali svizzeri competenti" (a seconda dei casi);​​ 
vii. nella clausola 17, le clausole contrattuali standard saranno regolate dalle leggi di Inghilterra e Galles o Svizzera (a seconda applicabile); e​​ 
viii. per quanto riguarda i trasferimenti ai quali si applicano le leggi britanniche sulla protezione dei dati, la clausola 18 sarà modificata per stabilire "Qualsiasi controversia derivante dalle presenti clausole sarà risolta dai tribunali di Inghilterra e Galles. L'interessato può avviare un procedimento legale contro l'esportatore e/o l'importatore dei dati dinanzi ai tribunali di qualsiasi paese del Regno Unito. Le Parti convengono di sottoporsi alla giurisdizione di tali tribunali", e per quanto riguarda i trasferimenti ai quali si applicano le leggi svizzere sulla protezione dei dati, la clausola 18(b) stabilirà che le controversie saranno risolte dinanzi ai tribunali competenti della Svizzera.​​ 
ix. Per quanto riguarda i dati protetti dal Regolamento generale sulla protezione dei dati del Regno Unito, i SCC UE si applicheranno come segue: (i) si applicheranno come completato in conformità con i paragrafi (i) a (viii) sopra elencati; e (ii) essere considerata modificata come specificato dalla Parte 2 dell'Addendum del Regno Unito, che sarà considerata incorporata e costituirne parte integrante di questa DPA. Inoltre, le tabelle 1 a 3 della Parte 1 dell'Addendum del Regno Unito saranno completate rispettivamente con le informazioni riportate nell'Allegato I e nell'Allegato II di questa DPA e la tabella 4 della Parte 1 dell'Addendum del Regno Unito saranno considerate completate selezionando "nessuna delle due parti".​​ 
C. In relazione ai trasferimenti di dati personali protetti dalla LGPD brasiliana, sia direttamente che tramite trasferimento successivo, verso un paese al di fuori del Brasile non soggetto a una decisione di adeguatezza emessa dall'ANPD, le Clausole Contrattuali Standard (SCC) brasiliane si considereranno stipulate e incorporate nel presente Accordo sul trattamento dei dati (DPA) mediante il presente riferimento, e saranno completate come segue:​​ 
i. La clausola 2 dei CSC brasiliani è soddisfatta dalle informazioni fornite nell'Allegato I, che descrive il trasferimento dei dati;​​ 
ii. Nella clausola 3 dei CSC brasiliani si applica l'Opzione B, consentiti trasferimenti in seguito ai sensi della Sezione 3.5 ("Subprocessori") di questo DPA. L'oggetto, la natura e la durata del trattamento sono indicati nell'Allegato I di questa DPA;​​ 
iii. La clausola 4 delle clausole contrattuali standard del Brasile è soddisfatta dalle informazioni contenute nell'allegato I del presente accordo sul trattamento dei dati. Qualora G-P agisca come Titolare del trattamento, sarà la “Parte Designata”, come definita nelle SCC brasiliane, e ai fini della Clausola 14 (Trasparenza), della Clausola 15 (Diritti dell'Interessato) e della Clausola 16 (Segnalazione degli Incidenti) delle SCC brasiliane. Il cliente rimane responsabile del rispetto della clausola 14 (Trasparenza), della clausola 15 (Diritti dell'interessato) e della clausola 16 Segnalazione degli incidenti) delle Condizioni generali di contratto del Brasile per qualsiasi dato personale di cui potrebbe altrimenti essere titolare;​​ 
iv. Nella clausola 9 delle SCC brasiliane, la clausola di ancoraggio facoltativa non si applicherà; e​​ 
v. La Sezione III (Misure di Sicurezza) dei CSC brasiliani sarà considerata completata con le informazioni contenute nell'Allegato II di questa DPA.​​ 
4.4​​  Trasferimenti di dati imprevisti​​ Qualora, nel corso della fornitura dei Servizi, una delle Parti identifichi che si verifica o è probabile che si verifichi un trasferimento di Dati Personali non già disciplinato dai meccanismi di cui alle Sezioni 4.1 attraverso 4.3 del presente Accordo sul trattamento dei dati, le Parti si informeranno reciprocamente tempestivamente e collaboreranno in buona fede per implementare, senza indebito ritardo, tali meccanismi di trasferimento aggiuntivi o misure supplementari che potrebbero essere richiesti dalle Leggi applicabili in materia di protezione dei dati per garantire la liceità di tale trasferimento. Nessuna delle Parti sarà tenuta a procedere con alcun trasferimento imprevisto fino a quando non sarà stato concordato e messo in atto il meccanismo appropriato.​​ 
 

Allegato I​​  

Descrizione dell'elaborazione dei dati​​ 
CONTROLLER INDIPENDENTE - DETTAGLI DELLA RELAZIONE CONTROLLER​​ 
(Questa sezione riguarda i dettagli sui dati personali condivisi tra le Parti in qualità di Responsabili del Servizio)​​ 
Partiti​​ 
Data Exporter: Entità cliente che firma il Contratto Quadro​​ 
Importatore di dati: Globalization Partners LLC.​​ 
Contatti delle parti​​ 
Dettagli di contatto come indicato nell'Accordo Quadro.​​ 
Attività rilevanti per i dati trasferiti​​ 
Attività relative ai servizi di Employer of Record.​​ 
Ruoli​​ 
Data Exporter: Controller.​​ 
Importatore dati: Controller.​​ 
Attività di elaborazione​​ 
I dati personali trattati / trasferiti possono essere soggetti alle seguenti attività di trattamento: qualsiasi operazione relativa ai dati personali indipendentemente dai mezzi applicati e dalle procedure, in particolare la raccolta, organizzazione, archiviazione, conservazione, utilizzo, recupero, consultazione, archiviazione, trasmissione, blocco, cancellazione o distruzione dei dati, funzionamento e manutenzione dei sistemi, conformità legale e funzioni di revisione.​​ 
Durata dell'elaborazione​​ 
La durata del Contratto Quadro e su base continuativa.​​ 
Natura e scopo della lavorazione​​ 
Il cliente può trasferire i dati del cliente a G-P, la cui estensione è determinata e controllata dal cliente a sua esclusiva discrezione. Lo Scopo del Trattamento è fornire al Datore di Lavoro i Servizi di Registrazione in conformità con l'Accordo Funebre.​​ 
Categorie di soggetti dati​​ 
Professionisti.​​ 
Tipi di dati personali​​ 
Dati di contatto (che possono includere nome, indirizzo, indirizzo e-mail, numero di telefono, numero di fax, recapiti per le emergenze e relative informazioni sul fuso orario locale).​​ 
Dettagli sull'impiego (che possono includere istruzione, curriculum vitae, titolo di lavoro, grado, demografia, dati di località, nazionalità e status di conformità all'esportazione, stipendio, bonus).​​ 
Contenuto delle email degli interessati.​​ 
Dettagli dei servizi forniti a o a beneficio dei soggetti dati.​​ 
Categorie Speciali di Dati (se opportuno)​​  
N/A​​ 
Fidelizzazione​​ 
I dati personali saranno conservati almeno per tutto il periodo minimo di conservazione legalmente rimandato, che sia conforme ai termini di prescrizione applicabili e rispetti le buone pratiche commerciali.​​ 
Autorità di Supervisione Competente​​ 
L'autorità di controllo competente sarà determinata in conformità con le leggi sulla protezione dei dati applicabili e includerà: la Commissione irlandese per la protezione dei dati (per il Regolamento generale sulla protezione dei dati dell'UE); l'Incaricato federale della protezione dei dati e della trasparenza/IFPDT (per la LPD svizzera); l'Ufficio del Commissario per l'Informazione del Regno Unito/ICO (per il Regolamento generale sulla protezione dei dati del Regno Unito); e l'Autoridade Nacional de Proteção de Dados / ANPD (per il Brasile LGPD).​​ 
Trasferimenti ai sottoprocessori​​  
Per i trasferimenti ai responsabili del trattamento, l'oggetto, la natura e la durata del trattamento sono gli stessi definiti in precedenza.​​ 
Dettagli di contatto G-P Privacy​​  
 
Attenzione: Ufficio Globale per la Privacy.​​  
 
 
 
DETTAGLI SULLE RELAZIONI TRA CONTROLLER E PROCESSORE​​ 
(Questa sezione riguarda i dettagli dei Dati Personali che vengono trattati da G-P per conto del Cliente)​​ 
Partiti​​ 
Data Exporter: Entità cliente che firma il Contratto Quadro​​ 
Importatore di dati: Globalization Partners LLC.​​ 
Contatti delle parti​​ 
Dettagli di contatto come indicato nell'Accordo Quadro.​​ 
Attività rilevanti per i dati trasferiti​​ 
Attività relative al Datore di Lavoro dei Servizi di Registrazione e all'uso del GPP fornito al Cliente come servizio.​​ 
Ruoli​​ 
Data Exporter: Controller​​ 
Data Importer: Processore​​ 
Attività di elaborazione​​ 
I dati personali trattati / trasferiti possono essere soggetti alle seguenti attività di elaborazione: qualsiasi operazione relativa ai dati personali indipendentemente dai mezzi applicati e dalle procedure, in particolare la raccolta, organizzazione, archiviazione, conservazione, utilizzo, recupero, consultazione, archiviazione, trasmissione, blocco, cancellazione o distruzione dei dati, funzionamento e manutenzione dei sistemi, conformità, funzioni legali e di revisione.​​ 
Durata dell'elaborazione​​ 
La durata del Contratto Quadro e su base continuativa.​​ 
Natura e scopo della lavorazione​​ 
Il cliente può trasferire i dati del cliente a G-P, la cui estensione è determinata e controllata dal cliente a sua esclusiva discrezione. La finalità del trattamento è quella di fornire GPP come servizio al Cliente in conformità con l'Accordo Quadro.​​ 
Categorie di soggetti dati​​ 
Utenti autorizzati del GPP, che possono includere dipendenti e/o collaboratori del Cliente.​​ 
Tipi di dati personali​​ 
Dati di contatto (come numero di telefono e indirizzo e-mail).​​ 
Dati dei dipendenti / appaltatori (come il titolo del lavoro e il nome dell'azienda).​​ 
Dati di utilizzo (come dati sul dispositivo dell'Utente Autorizzato e su come tale dispositivo interagisce con il GPP).​​ 
Dati di localizzazione (come la posizione derivata dall'indirizzo IP).​​ 
dati di contenuto (come il contenuto dei file del Cliente riguardanti i Professionisti e le comunicazioni correlate).​​ 
Credenziali (come password, password, suggerimenti e informazioni di sicurezza simili utilizzate per l'autenticazione e l'accesso all'account al GPP).​​ 
Qualsiasi dato personale fornito dagli utenti autorizzati.​​ 
Categorie Speciali di Dati (se opportuno)​​  
N/A​​ 
Fidelizzazione​​ 
I dati personali saranno conservati almeno per tutto il periodo minimo di conservazione legalmente rimandato, che sia conforme ai termini di prescrizione applicabili e rispetti le buone pratiche commerciali.​​ 
Autorità di Supervisione Competente​​ 
L'autorità di controllo competente sarà determinata in conformità con le leggi sulla protezione dei dati applicabili e includerà: la Commissione irlandese per la protezione dei dati (per il Regolamento generale sulla protezione dei dati dell'UE); l'Incaricato federale della protezione dei dati e della trasparenza/IFPDT (per la LPD svizzera); l'Ufficio del Commissario per l'Informazione del Regno Unito/ICO (per il Regolamento generale sulla protezione dei dati del Regno Unito); e l'Autoridade Nacional de Proteção de Dados / ANPD (per il Brasile LGPD).​​ 
Trasferimenti ai sottoprocessori​​  
Per i trasferimenti ai responsabili del trattamento, l'oggetto, la natura e la durata del trattamento sono gli stessi definiti in precedenza.​​ 
Dettagli di contatto G-P Privacy​​  
 
Attenzione: Ufficio Globale per la Privacy.​​  
 

Allegato II​​ 

Misure tecniche e organizzative​​ 

G-P è stata certificata e attestata da revisori indipendenti per confermare la conformità agli standard SOC 2 e ISO 27001 . Tali certificazioni dimostrano il nostro impegno a proteggere i dati dei clienti. Il programma di sicurezza di G-P è progettato per:​​ 

Proteggere la riservatezza, l'integrità e la disponibilità dei Dati Clienti in possesso di G-P o a cui G-P ha accesso;​​ 

Proteggere da eventuali minacce o pericoli previsti alla riservatezza, integrità e disponibilità dei dati dei clienti;​​ 

Proteggere contro accessi, utilizzi, divulgazioni, modifiche o distruzioni non autorizzate o illegali dei Dati dei Clienti;​​ 

Proteggere contro la perdita accidentale, la distruzione o il danno ai dati del cliente; e​​ 

Salvaguardare le informazioni come stabilito in qualsiasi regolamento con cui il G-P possa essere regolamentato.​​ 

Di seguito descrive le funzioni, i processi, i controlli, i sistemi, le procedure e le misure che G-P ha adottato per garantire la sicurezza dell'elaborazione dei dati dei clienti:​​ 

1) MISURE TECNICHE PER GARANTIRE LA PRIVACY E LA PROTEZIONE DEI DATI​​ 

Privacy fin dalla progettazione e per impostazione predefinita:​​ 

G-P tiene conto dei requisiti dell'articolo 25 Regolamento generale sulla protezione dei dati nella fase di ideazione e sviluppo del prodotto. I processi e le funzionalità sono strutturati in modo tale da tenere conto, fin dalle prime fasi, dei principi di protezione dei dati quali liceità, trasparenza, limitazione delle finalità, minimizzazione dei dati, ecc., nonché della sicurezza del trattamento.​​ 

b) Crittografia dei dati personali:​​ 

Garantire che i dati personali siano memorizzati nel sistema esclusivamente in modo tale da non consentire a terzi di identificare l'interessato.​​ 

Crittografia del database e dell'archiviazione:​​ 

Su tutti i database utilizzati da G-P viene utilizzata una crittografia "a riposo" secondo lo stato dell'arte, in modo che i dati del database possano essere letti solo dopo una corretta autenticazione sul rispettivo sistema di database.​​ 

Crittografia dei supporti dati mobili:​​ 

L'uso di operatori dati mobili per memorizzare i dati dei clienti non è consentito.​​ 

Crittografia dei fornitori di dati sui laptop:​​ 

Su tutti i computer portatili dei dipendenti è installato un sistema di crittografia del disco rigido all'avanguardia.​​ 

Scambio criptato di informazioni e file:​​ 

In linea di principio, lo scambio di informazioni e file è direttamente criptato tramite una domanda speciale. Se dati personali o informazioni riservate devono essere trasferiti a server che non possono essere inviati tramite upload HTTPS cifrato TLS, questi saranno trasferiti utilizzando il Secure File Transfer Protocol (SFTP), il servizio di inviluppo criptato o un altro meccanismo criptato secondo lo stato dell'arte.​​ 

Crittografia delle e-mail:​​ 

In linea di principio, tutte le e-mail inviate dai dipendenti di G-P sono crittografate con TLS. Un'eccezione può verificarsi se il server di posta ricevente non supporta TLS. Il Cliente si impegna a garantire che i server di posta elettronica utilizzati nell'ambito dell'ordine supportino la crittografia TLS.​​ 

c) Controllo degli accessi​​ 

I controlli di accesso sono concepiti e attuati al fine di impedire l'utilizzo e il trattamento di dati protetti dalle leggi sulla protezione dei dati da parte di persone non autorizzate.​​ 

Utilizzo di metodi di autenticazione​​ 

L'accesso ai dati personali avviene sempre tramite protocolli criptati: SSH, SSL/TLS, HTTPS o protocolli simili. Procedura di autenticazione per un sistema IT: autenticazione multifattore tramite accesso al sistema IT.​​ 

Blocco automatico in caso di inattività​​ 

I computer portatili utilizzati dai dipendenti G-P sono protetti da password o PIN quando non vengono utilizzati dall'utente. Inoltre, dopo 15 minuti di inattività viene impostato un blocco schermo automatico con protezione tramite password.​​ 

Utilizzo di software antivirus​​ 

I computer portatili utilizzati dai dipendenti G-P sono dotati di software antivirus all'avanguardia, costantemente aggiornato su tutti i sistemi informatici operativi e aziendali. In linea di principio, nessun computer può essere utilizzato senza un programma antivirus residente, a meno che non siano state adottate altre misure di sicurezza equivalenti e all'avanguardia o che non vi sia alcun rischio. Le impostazioni di sicurezza predefinite non devono essere disattivate o aggirate.​​ 

"Politica sulla Scrivania Pulita"​​ 

Ai dipendenti di G-P è stato richiesto di non stampare o archiviare localmente i dati personali degli interessati, di non lasciare materiali di lavoro in luoghi accessibili a terzi e di conservare correttamente tutti i materiali di lavoro. I documenti che G-P è tenuto per legge a conservare in formato cartaceo sono custoditi in armadietti chiusi a chiave.​​ 

d) Controlli di accesso all'interno della piattaforma​​ 

I controlli di accesso garantiscono che le persone autorizzate a utilizzare un sistema di trattamento abbiano accesso solo ai dati personali coperti dalla loro autorizzazione di accesso.​​ 

Ruoli e autorizzazioni​​ 

Piattaforma Ruoli e Autorizzazioni – Accesso Clienti Gli utenti clienti possono visualizzare e modificare le informazioni dell'account cliente.​​ 

Ruoli e Piattaforma di Autorizzazione – Accesso Professionale Gli utenti professionisti possono visualizzare e modificare le proprie informazioni professionali.​​ 

I professionisti possono anche ottenere un ruolo di accesso clienti su richiesta + approvazione​​ 

Piattaforma di Autorizzazione e Ruoli – Accesso Interno​​ 

Gli utenti con accesso interno hanno ruoli diversi. Hanno diversi livelli di accesso per creare, visualizzare, modificare e approvare i seguenti elementi:​​ 

Informazioni per i clienti​​ 

Informazioni di fatturazione​​ 

Informazioni sui partner​​ 

Informazioni sui registri del personale professionale​​ 

L'accesso al sistema amministrativo è generalmente limitato a dipendenti formati nelle aree di supporto clienti e sviluppo prodotto.​​ 

e) Firewall come servizio​​ 

G-P utilizza un firewall esterno come servizio che gli permette di concedere o bloccare l'accesso ai siti web per assicurarsi che i sistemi non possano accedere a contenuti dannosi e per limitare l'accesso a contenuti inappropriati.​​ 

f) Registrazione dell'accesso alla Piattaforma​​ 

G-P mantiene un registro di tutte le attività di accesso.​​ 

g) Separabilità​​ 

Garantire che i dati personali raccolti per scopi diversi possano essere trattati separatamente e siano distanziati da altri dati e sistemi in modo tale da escludere un utilizzo non pianificato di tali dati per altri scopi.​​ 

Separazione degli ambienti di sviluppo, test e operativi.​​ 

I dati dall'ambiente operativo possono essere trasferiti agli ambienti di test o sviluppo solo se sono stati resi completamente anonimi prima del trasferimento. Il trasferimento dei dati anonimizzati deve essere criptato o tramite una rete affidabile.​​ 

Il software da trasferire nell'ambiente operativo deve essere prima testato in un ambiente di test identico ("staging"). I programmi per l'analisi degli errori o per la creazione/compilazione di software possono essere utilizzati nell'ambiente operativo solo se ciò non può essere evitato. Ciò si verifica soprattutto se le situazioni di errore dipendono da dati che verrebbero falsificati a causa dei requisiti di anonimizzazione durante il trasferimento agli ambienti di test.​​ 

Separazione nelle reti​​ 

G-P suddivide le sue reti in base alle attività. Le seguenti reti sono utilizzate in modo permanente: ambiente operativo ("Produzione"), ambiente di test ("Staging", "Sandbox"), ambiente di sviluppo ("Dev") e personale IT dell'ufficio. Oltre a queste reti, vengono create ulteriori reti separate a seconda delle necessità, ad esempio per i test di ripristino e i test di penetrazione. A seconda delle possibilità tecniche, le reti vengono separate fisicamente o tramite reti virtuali.​​ 

h) Controllo della disponibilità​​ 

G-P adotta le seguenti misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentali.​​ 

Procedure/backup di protezione dei dati​​ 

Per garantire un'adeguata disponibilità, G-P esegue snapshot giornalieri del proprio database con replica in una regione diversa. Vengono inoltre adottate misure per garantire che ai dipendenti che, per motivi lavorativi, hanno bisogno di esaminare i dati, venga concesso l'accesso solo ai set di dati di replica.​​ 

Geo-ridondanza riguardo all'infrastruttura server di dati produttivi e backup​​ 

Gestione degli incidenti IT ("Gestione della risposta agli incidenti")​​ 

Esiste un concetto e procedure documentate per la gestione degli incidenti e degli eventi rilevanti per la sicurezza. Ciò include la pianificazione e la preparazione della risposta agli incidenti, le procedure per il monitoraggio, l'individuazione e l'analisi degli eventi rilevanti per la sicurezza e la definizione delle relative responsabilità e dei canali di segnalazione in caso di violazione della protezione dei dati personali nel quadro dei requisiti di legge.​​ 

2) MISURE ORGANIZZATIVE PER GARANTIRE LA PRIVACY E LA PROTEZIONE DEI DATI​​ 

G-P ha adottato le seguenti misure organizzative per garantire che l'organizzazione operi in modo da rispettare i requisiti di privacy e protezione dei dati.​​ 

a) Istruzioni organizzative​​ 

G-P ha sviluppato e sta sviluppando un programma di governance dei dati che include politiche, procedure e linee guida che i dipendenti devono seguire. La documentazione include come identificare e gestire le problematiche relative alla privacy dei dati, le migliori pratiche per garantire la conformità alla privacy e le politiche per affrontare gli incidenti di privacy.​​ 

b) Impegno per la riservatezza e la protezione dei dati​​ 

G-P ha sviluppato e sta sviluppando un programma di governance dei dati che include politiche, procedure e linee guida che i dipendenti devono seguire. Tutti i dipendenti e i collaboratori sono vincolati per iscritto alla riservatezza, alla protezione dei dati e ad altre leggi pertinenti. Tutti i dipendenti ricevono formazione sulla privacy e sicurezza. Revisioni interne sulla protezione dei dati e sulla sicurezza delle informazioni vengono effettuate regolarmente. Gli audit vengono effettuati sulla base di criteri/schemi di test comuni. I dipendenti e i collaboratori di G-P sono istruiti a trattare i dati personali solo per motivi legittimi, ai sensi dei contratti applicabili con il cliente e il professionista, con la dovuta considerazione di qualsiasi espresso consenso dato o negato dal soggetto dei dati, e in conformità con qualsiasi dovere legale dell'organizzazione.​​ 

c) Addestramento alla protezione dei dati​​ 

Tutti i dipendenti ricevono formazione su privacy e sicurezza che rimane disponibile per la revisione in qualsiasi momento sulla piattaforma G-P.​​ 

d) Controlli di accesso fisico​​ 

G-P ha implementato i seguenti controlli fisici per impedire l'accesso di persone non autorizzate alle apparecchiature dei sistemi informatici utilizzate per l'elaborazione dei dati.​​ 

Protezione elettronica delle porte​​ 

Le porte d'ingresso degli uffici G-P sono sempre chiuse a chiave e fissate elettronicamente. Le porte si aprono tramite un transponder elettronico personale.​​ 

Distribuzione controllata delle chiavi​​ 

Viene effettuata un'assegnazione centralizzata e documentata delle chiavi ai dipendenti di G-P . Questi transponder/chiavi elettronici potrebbero essere disattivati centralmente da ciascun responsabile d'ufficio o dal dipartimento Risorse Umane.​​ 

Supervisione e accompagnamento di persone esterne​​ 

I fornitori di servizi esterni e altre terze parti possono ottenere l'accesso ai locali solo tramite autorizzazione preventiva o se accompagnati da un dipendente di G-P. G-P applica la sua Politica Scritta per i Visitatori quando i visitatori sono invitati nella struttura.​​ 

Messa in sicurezza di locali con maggiori necessità di protezione​​ 

I locali o gli armadi con maggiori requisiti di protezione, come gli uffici legali e alcune sedi operative, sono dotati di armadi e cassetti con serratura. Armadi e cassetti contenenti documenti legali, contratti e documenti riservati devono essere sempre chiusi a chiave, tranne quando vengono utilizzati.​​ 

Porte e finestre chiuse​​ 

I dipendenti sono istruiti organizzativamente a tenere finestre e porte chiuse o chiuse fuori dall'orario d'ufficio.​​ 

e) Recuperabilità​​ 

G-P garantisce che i sistemi in uso possano essere ripristinati in caso di guasto fisico o tecnico.​​ 

Test periodici del ripristino dei dati ("Test di ripristino")​​ 

Vengono effettuati regolari test di ripristino completo per garantire la recuperabilità in caso di emergenza o disastro.​​ 

Piano d'emergenza ("Concetto di Disaster Recovery")​​ 

Esiste un concetto per il trattamento delle emergenze/disastri e un piano di emergenza corrispondente. G-P garantisce il recupero di tutti i sistemi sulla base dei backup/backup dei dati, solitamente entro 48 ore.​​ 

Misure di revisione e valutazione​​ 

Presentazione delle procedure per la revisione, valutazione e valutazione regolari dell'efficacia delle misure tecniche e organizzative.​​ 

f) Team per la privacy​​ 

L'organizzazione dispone di un Ufficio Riservatezza globale dei dati incaricato della pianificazione, implementazione, valutazione e adattamento delle misure in materia di protezione dei dati.​​ 

g) Gestione del rischio​​ 

Esiste un processo per analizzare, valutare e assegnare i rischi e per derivare misure sulla base di questi rischi.​​ 

3) REVISIONE INDIPENDENTE DELLA SICUREZZA DELLE INFORMAZIONI​​ 

Esecuzione delle verifiche contabili​​ 

Revisioni interne sulla protezione dei dati e sulla sicurezza delle informazioni vengono effettuate regolarmente. Gli audit vengono effettuati sulla base di criteri/schemi di test comuni.​​ 

b) Revisione della conformità alle politiche e agli standard di sicurezza​​ 

La conformità alle linee guida di sicurezza, agli standard e agli altri requisiti di sicurezza applicabili per il trattamento dei dati personali viene regolarmente controllata. Quando possibile, questi controlli vengono effettuati in modo casuale e inaspettato.​​ 

c) Verifica della conformità alle specifiche tecniche​​ 

Scansioni automatiche e manuali regolari delle vulnerabilità vengono eseguite dal dipartimento IT o da altri professionisti qualificati per verificare la sicurezza delle applicazioni e dell'infrastruttura, nonché lo sviluppo regolare del prodotto. Test di penetrazione dettagliati vengono eseguiti da un fornitore di servizi esterno per esaminare specificamente le applicazioni e l'infrastruttura alla ricerca di vulnerabilità.​​ 

d) Elaborazione su istruzione​​ 

I dipendenti di G-P sono istruiti a trattare i dati personali solo per motivi legittimi, in conformità con i contratti applicabili con il cliente e il professionista, con la dovuta considerazione di qualsiasi consenso espresso dato o trattenuto dal soggetto e in conformità con qualsiasi dovere legale dell'organizzazione.​​ 

e) Selezione accurata dei fornitori​​ 

G-P rispetta il suo Processo di Prequalifica dei Fornitori nella selezione di fornitori e fornitori che potrebbero incontrare dati protetti. Questo processo include feedback dai Dipartimenti Finanza e Legale/Privacy e comprende la valutazione del rischio, la prequalifica della sicurezza e i passaggi di certificazione della documentazione. I fornitori che elaboreranno dati protetti dovranno dimostrare il rispetto delle leggi applicabili sulla privacy dei dati, incluso l'Articolo 28 Regolamento generale sulla protezione dei dati per i dati coperti​​ 

Allegato III​​ 

Elenco dei subprocessori​​ 
Subprocessore​​ 
Posizione e informazioni di contatto​​ 
Descrizione dell'elaborazione​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA​​ 
Servizi finanziari​​ 
P.O. Scatola 81226​​ 
Seattle, WA 98108-1226, USA​​ 
Hosting – Fornitore di servizi cloud​​ 
Microsoft Corporation One Microsoft Way​​ 
Redmond, Washington 98052 USA Telefono: (+1) 425-882-8080.​​ 
Supporto ai processi aziendali per la gestione delle comunicazioni (e-mail) e dei servizi.​​ 
350 Pavimento di Bush Street 13​​ 
San Francisco, CA 94104, USA​​ 
+1 415 701 1110​​ 
Supporto ai processi aziendali per la gestione dei servizi​​ 
DocuSign International (EMEA) Ltd, Attenzione: Team per la privacy, 5 Hanover Quay, piano terra, Dublino 2, Repubblica d'Irlanda​​ 
Gestione documentale​​ 
Salesforce Tower, 415 Mission Street, 3° piano, San Francisco, CA 94105, USA​​ 
1-800-387-3285​​ 
Supporto ai processi aziendali per la gestione delle relazioni con i clienti (CRM)​​ 
989 Market St​​ 
San Francisco, CA 94103, USA​​ 
888-670-4887​​ 
Richieste di assistenza clienti per l'assistenza clienti​​ 
2225 Lawson Lane Santa Clara, CA, 95054​​ 
USA​​ 
Supporto ai processi aziendali per la gestione dei servizi IT e delle operazioni, l'esperienza individuale e cliente attraverso (​​ flusso di lavoro automatizzato basato su cloud)​​ 
160 Spear Street, 15piano San Francisco, CA 94105 1-866-330-0121​​ 
USA​​ 
Infrastruttura cloud data warehouse.​​ 
620 8th​​  Ave 45​​ th​​  Pavimento​​ 
New York, NY 10018​​ 
USA​​ 
Strumento di monitoraggio e debug del servizio​​ 
Avenue Louise 54, Stanza s52,​​ 
1050 Bruxelles​​ 
Belgio​​ 
Processore di pagamenti online​​ 
1600 Anfiteatro Pkwy, Mountain View, CA 94043​​ 
Supporto ai processi aziendali per comunicazioni (email) e archiviazione interna dei documenti​​