Keycafe

Addendum sul Trattamento dei Dati (DPA) di Keycafe

Ultimo aggiornamento: 11 febbraio 2026

Data di Efficacia: alla data in cui il Cliente accetta i Termini di Servizio di Keycafe (i “Termini”).
Parti: il “Cliente” e l’entità contraente di Keycafe (“Keycafe”) ai sensi dei Termini.

  1. Incorporazione; Ambito di applicazione

    Il presente DPA è incorporato per riferimento nei Termini e si applica automaticamente ogniqualvolta Keycafe Tratti Dati Personali per conto del Cliente in qualità di responsabile del trattamento o di service provider/Contractor (ai sensi del CPRA) ai sensi della Normativa applicabile in materia di protezione dei dati. Non è richiesta alcuna firma separata. In caso di conflitto tra il presente DPA e i Termini in relazione al trattamento dei Dati Personali, prevale il presente DPA.

  2. Definizioni

    I termini in maiuscolo non definiti nel presente documento hanno il significato attribuito nei Termini.

    • "Normativa applicabile in materia di protezione dei dati" indica tutte le leggi in materia di privacy, protezione dei dati o sicurezza dei dati applicabili al Trattamento dei Dati Personali, incluse il GDPR UE/SEE, il GDPR del Regno Unito, la LPD svizzera (FADP), il CPRA/CCPA della California, la PIPEDA canadese e le leggi provinciali sostanzialmente analoghe (incluse l’Alberta PIPA, la BC PIPA e la legge del Québec per il settore privato), nonché qualsiasi altra legge nazionale, statale, provinciale o settoriale applicabile.
    • "Dati Personali del Cliente" indica i Dati Personali Trattati da Keycafe per conto del Cliente ai sensi dei Termini.
    • "Trattare" o "Trattamento" ha il significato attribuito dalla Normativa applicabile in materia di protezione dei dati.
    • "SCC" indica le Clausole Contrattuali Standard dell’UE (Modulo 2, titolare→responsabile) adottate con Decisione di esecuzione (UE) 2021/914, come modificate o sostituite.
    • "Sub-responsabili" indica un responsabile del trattamento incaricato da Keycafe di Trattare i Dati Personali del Cliente.
    • "Accertamento" indica il momento in cui il team di sicurezza di Keycafe conferma, a seguito di una ragionevole indagine, che si è verificata una Violazione dei dati personali che riguarda i Dati Personali del Cliente. Keycafe non ha alcun obbligo di notificare al Cliente violazioni sospette o potenziali prima dell’Accertamento.
    • "Incidente di sicurezza" indica un evento avverso, sospetto o effettivo, che interessa reti, sistemi o strutture e che non comporta accesso non autorizzato o divulgazione, alterazione o perdita dei Dati Personali del Cliente. Keycafe non ha alcun obbligo di notificare al Cliente gli Incidenti di sicurezza, sebbene Keycafe possa, a propria discrezione, includere statistiche o riepiloghi di alto livello in comunicazioni periodiche del Trust Center.
    • "Violazione dei dati personali" indica una violazione della sicurezza che comporta la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso, accidentali o illeciti, ai Dati Personali del Cliente. Tentativi o attività non riusciti che non compromettono la sicurezza (ad es. ping, scansioni delle porte, malware bloccato, accessi falliti, DDoS) non costituiscono Violazioni dei dati personali.

  3. Ruoli; Istruzioni; Responsabilità del Cliente

    1. Ruoli. Il Cliente è il titolare del trattamento e Keycafe è il responsabile del trattamento/service provider/Contractor per i Dati Personali del Cliente.
    2. Istruzioni. Keycafe Tratterà i Dati Personali del Cliente solo su istruzioni documentate del Cliente e nella misura necessaria per fornire e proteggere i Prodotti descritti nei Termini. Keycafe notificherà al Cliente se un’istruzione sembra violare la Normativa applicabile in materia di protezione dei dati.
    3. Responsabilità del Cliente. Il Cliente è responsabile dell’accuratezza, qualità e liceità dei Dati Personali del Cliente e della fornitura di eventuali informative e dell’ottenimento dei consensi necessari per il Trattamento da parte di Keycafe.
    4. Dati sensibili; SPI. Il Cliente non invierà intenzionalmente categorie particolari di dati ai sensi del GDPR o Informazioni Personali Sensibili ai sensi del CPRA (o di leggi analoghe) salvo che il Cliente abbia fornito un preavviso scritto e siano in atto adeguate salvaguardie; eventuali caricamenti d’emergenza devono essere notificati prontamente successivamente.
    5. Nessuna consulenza legale. Keycafe non fornisce consulenza legale; il Cliente è l’unico responsabile della liceità dei Dati Personali del Cliente, delle informative e consensi richiesti e della legittimità delle istruzioni del Cliente.

  4. Riservatezza del personale

    Keycafe garantirà che il proprio personale autorizzato a Trattare i Dati Personali del Cliente sia vincolato da obblighi di riservatezza e riceva un’adeguata formazione in materia di privacy e sicurezza.

  5. Sicurezza

    Keycafe manterrà misure tecniche e organizzative appropriate, progettate per proteggere i Dati Personali del Cliente da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso, accidentali o illeciti. Tali misure includono controlli di accesso, cifratura ove appropriata, registrazione/monitoraggio, gestione delle vulnerabilità, backup e sicurezza fisica come indicato nell’Allegato II (Misure di sicurezza). Keycafe valuterà e aggiornerà le proprie misure tenendo conto della natura del Trattamento e del rischio.

  6. Sub-responsabili

    1. Uso; obblighi a cascata. Il Cliente autorizza Keycafe a utilizzare Sub-responsabili per fornire i Prodotti. Keycafe imporrà obblighi di protezione dei dati non meno protettivi di quelli previsti dal presente DPA.
    2. Elenco e preavviso. L’elenco corrente dei Sub-responsabili e le modalità di notifica di Keycafe sono indicati nell’Allegato 6 (Subprocessori) dei Termini. La pubblicazione di un aggiornamento dell’elenco identificato nell’Allegato 6 costituisce notifica di una modifica. Il Cliente può inviare un’e-mail a privacy@keycafe.com per essere inserito nell’elenco facoltativo di notifica via e-mail indicato nell’Allegato 6.
    3. Opposizione (motivi ristretti); rimedio. Entro 14 giorni dalla notifica, il Cliente può opporsi esclusivamente per motivi ragionevoli e sostanzialmente comprovati in materia di protezione dei dati. Keycafe può risolvere l’opposizione rimuovendo/sostituendo il Sub-responsabile o offrendo un’alternativa ragionevole. Se non risolto dopo discussioni in buona fede, il Cliente può risolvere solo la funzionalità interessata (non l’intero Servizio) e ricevere un rimborso pro-rata delle commissioni prepagate e non utilizzate per tale funzionalità. La mancata opposizione entro 14 giorni è considerata consenso.
    4. Responsabilità; rimedio. Keycafe rimane responsabile delle prestazioni dei propri Sub-responsabili nella stessa misura in cui lo sarebbe per le proprie azioni. Laddove la non conformità di un Sub-responsabile incida sui Servizi, la nuova esecuzione o la correzione da parte di Keycafe o del Sub-responsabile costituisce l’unico ed esclusivo rimedio del Cliente per tale non conformità, fatto salvo il diritto di risoluzione del Cliente ai sensi del paragrafo (c).

  7. Assistenza; Violazioni; Valutazioni d’impatto; Richieste governative

    1. Richieste degli interessati. Tenendo conto della natura del Trattamento, Keycafe fornirà un’assistenza ragionevole tramite le funzionalità del prodotto e il supporto per rispondere alle richieste di esercizio dei diritti degli interessati. L’assistenza oltre le funzionalità del prodotto o eccessiva o ripetitiva può essere addebitata su base a tempo e materiali.
    2. Incidenti di sicurezza. Keycafe notificherà al Cliente senza ingiustificato ritardo e, ove fattibile, entro 72 ore dall'Accertamento di una Violazione dei dati personali che riguarda i Dati Personali del Cliente e fornirà le informazioni nella misura allora nota, seguite da aggiornamenti. Per chiarezza, tentativi o attività non riusciti che non compromettono la sicurezza non costituiscono una Violazione dei dati personali. La notifica o risposta di Keycafe non costituisce ammissione di colpa o responsabilità.
    3. DPIA e consultazioni. Keycafe fornirà informazioni ragionevoli per supportare le valutazioni d’impatto sulla protezione dei dati del Cliente e le consultazioni con le autorità di controllo nella misura in cui il Trattamento da parte di Keycafe sia coinvolto; attività oltre gli sforzi ragionevoli possono essere addebitate su base a tempo e materiali.
    4. Richieste di governi e autorità di regolamentazione. Keycafe non risponderà ad alcuna richiesta da parte di governi, forze dell’ordine o autorità di controllo relativa ai Dati Personali del Cliente, salvo per confermare la ricezione e rinviare l’autorità al Cliente, a meno che non sia legalmente obbligata a rispondere. Ove consentito, Keycafe notificherà prontamente il Cliente della richiesta, ne valuterà la legittimità e divulgherà solo le informazioni minime richieste. Keycafe documenterà la propria valutazione e le risposte e le metterà a disposizione del Cliente su richiesta.

  8. Diritti di audit e di informazione

    Su richiesta scritta non più di una volta in qualsiasi periodo di 12 mesi (salvo richiesta giustificata di un’autorità di regolamentazione o a seguito di una violazione), Keycafe fornirà rapporti o certificazioni di audit di terze parti aggiornati (ad es. SOC/ISO), politiche e riepiloghi di sicurezza sufficienti a soddisfare gli obblighi di audit ai sensi del presente DPA e delle SCC. Se, dopo aver esaminato tali informazioni, il Cliente ritiene ragionevolmente che siano insufficienti, il Cliente può condurre (o incaricare un revisore indipendente, concordato reciprocamente, di condurre) un audit in loco dei sistemi e delle strutture pertinenti con preavviso di 30 giorni, limitato a 1 giorno lavorativo, durante l’orario lavorativo, e limitato ai sistemi che Trattano i Dati Personali del Cliente. L’accesso in loco è subordinato alla firma da parte del revisore di un accordo di riservatezza non meno protettivo dell’Accordo e alla definizione di un piano di audit scritto (ambito, evidenze, calendario). Gli audit sono soggetti a riservatezza, sicurezza e a ragionevoli costi su base a tempo e materiali per supervisione e supporto. Gli audit successivi a una violazione o imposti da un’autorità di regolamentazione possono avvenire come richiesto. Le informazioni e i risultati dell’audit possono essere condivisi con un’autorità di controllo competente su richiesta.

  9. Trasferimenti internazionali

    1. UE/SEE. Qualora i Dati Personali del Cliente siano trasferiti a Keycafe in un Paese privo di decisione di adeguatezza, le SCC (Modulo 2) sono incorporate per riferimento e si intendono sottoscritte dalle parti al momento dell’accettazione dei Termini da parte del Cliente. Gli Allegati I/II/III alle SCC sono soddisfatti dagli Allegati I/II/III al presente DPA. Si applica la clausola di adesione (docking clause).
    2. Regno Unito. Per i trasferimenti dal Regno Unito, l’IDTA/Addendum del Regno Unito alle SCC è incorporato e si intende sottoscritto al momento dell’accettazione dei Termini; le tabelle completate sono soddisfatte dagli Allegati I–III e dai dettagli nei Termini.
    3. Svizzera. Per i trasferimenti dalla Svizzera, le SCC si applicano come modificate dalle linee guida dell’Incaricato federale della protezione dei dati e della trasparenza (FDPIC) (i riferimenti al GDPR includono la LPD svizzera; l’autorità di controllo è il FDPIC).
    4. Misure supplementari. Keycafe implementerà misure supplementari ove richiesto dalla legge e notificherà al Cliente se non può più rispettare le SCC/IDTA.
    5. Localizzazione dei dati. Il Trattamento può avvenire in qualsiasi giurisdizione in cui operano Keycafe o i suoi Sub-responsabili, fatto salvo quanto previsto dalla presente Sezione 9 e dalla Normativa applicabile in materia di protezione dei dati.
    6. Adeguatezza del Canada (informativa). Qualora Keycafe agisca tramite un’entità in Canada soggetta a PIPEDA, può applicarsi l’adeguatezza UE/Regno Unito per i trasferimenti verso il Canada. Questo considerando non limita né sostituisce le SCC/l’Addendum del Regno Unito, che rimangono operativi per altre località e per i trasferimenti successivi.

  10. Restituzione ed eliminazione

    Alla cessazione o scadenza dei servizi pertinenti, su scelta scritta del Cliente entro 30 giorni, Keycafe consentirà l’esportazione in autonomia o altrimenti fornirà i Dati Personali del Cliente in un formato comunemente utilizzato e leggibile da macchina (nessun ETL personalizzato o estrazione su misura), oppure li eliminerà/anonimizzerà. Se il Cliente non sceglie la restituzione entro tale periodo, Keycafe eliminerà/anonimizzerà entro 90 giorni, fatti salvi gli obblighi legali di conservazione. L’eliminazione dai backup avviene tramite sovrascrittura secondo il normale ciclo di conservazione; non è richiesta una purga anticipata. Keycafe può conservare dati de-identificati/aggregati per legittime finalità aziendali.

  11. Termini di Service Provider ai sensi di CPRA/CCPA (USA)

    Per le Informazioni Personali della California, Keycafe agisce come service provider/Contractor e: (i) non venderà né “condividerà” tali Informazioni personali; (ii) non le conserverà, utilizzerà o divulgherà al di fuori delle finalità aziendali di fornitura dei Prodotti (incluse la manutenzione/miglioramento della sicurezza e come altrimenti consentito dalla legge); (iii) non le combinerà con altri dati salvo quanto consentito dal CPRA (ad esempio, per rilevare incidenti di sicurezza o migliorare i servizi); (iv) estenderà tali restrizioni ai Sub-responsabili; e (v) certifica di comprendere e di rispettare tali obblighi.

  12. Responsabilità; prevalenza

    La responsabilità ai sensi del presente DPA è soggetta, e non si aggiunge, alle limitazioni ed esclusioni previste dai Termini. Nulla nel presente DPA è inteso ad ampliare la responsabilità di Keycafe oltre quanto previsto dai Termini. Per chiarezza, restano applicabili i crediti di servizio e gli altri rimedi esclusivi previsti nei Termini.

  13. Legge applicabile; ordine di prevalenza

    Il presente DPA segue la legge applicabile e le disposizioni di risoluzione delle controversie previste dai Termini. In caso di conflitto relativo al Trattamento dei Dati Personali, prevale il presente DPA; in caso contrario, prevalgono i Termini.

  14. Durata

    Il presente DPA rimane in vigore fintanto che Keycafe Tratta i Dati Personali del Cliente per conto del Cliente ai sensi dei Termini.

  15. Sopravvivenza

    Le Sezioni 4, 5, 6 (nella misura in cui gli obblighi per loro natura sopravvivono), 7(d), 8, 9, 10, 12, 13 e gli Allegati I–III sopravvivono alla cessazione.

Allegato I — Dettagli del trattamento dei dati (art. 28 e SCC)

  1. Parti e contatti

    • Esportatore dei dati (titolare): Cliente (contatto: come indicato nell’account del Cliente).
    • Importatore dei dati (responsabile): Keycafe (contatto: privacy@keycafe.com).

  2. Descrizione del Trattamento

    • Oggetto: Fornitura, operatività e supporto dei Prodotti ai sensi dei Termini.
    • Durata: Durata dell’abbonamento e qualsiasi periodo di cessazione graduale/conservazione previsto nella Sezione 10.
    • Natura e finalità: Hosting, archiviazione, trasmissione, gestione degli accessi, log di telemetria, supporto e sicurezza dei Prodotti.
    • Categorie di interessati: Dipendenti/agenti del Cliente; utenti finali del Cliente; ospiti/visitatori designati dal Cliente.
    • Categorie di Dati Personali: Dati identificativi e di contatto (ad es. nome, e-mail, telefono); identificativi dell’account; log di dispositivo e utilizzo; eventi di accesso/transazione; posizione/GPS opzionale ove abilitato; qualsiasi altro Dato Personale che il Cliente scelga di inviare.
    • Dati sensibili: Non previsti; se il Cliente invia dati sensibili, le Parti implementeranno adeguate salvaguardie.
    • Frequenza del trasferimento: Continuativa, secondo necessità.
    • Istruzioni di trattamento: Come stabilito nei Termini, nel presente DPA e nelle configurazioni e richieste documentate del Cliente.
    • Conservazione: Come previsto dalla Sezione 10.

  3. Autorità di controllo competente

    • Per le SCC UE: l’autorità competente dell’esportatore ai sensi del GDPR.
    • Per i trasferimenti svizzeri: il FDPIC.
    • Per i trasferimenti dal Regno Unito: l’ICO (ai sensi dell’Addendum del Regno Unito).

Allegato II — Misure tecniche e organizzative di sicurezza

Keycafe mantiene misure adeguate al rischio, incluse:

  • Controlli di accesso: accesso basato sui ruoli, MFA per accesso privilegiato, principio del minimo privilegio, revisioni periodiche degli accessi.
  • Cifratura: cifratura in transito; cifratura a riposo per gli archivi primari ove appropriato; politiche di gestione delle chiavi.
  • Sicurezza di rete e infrastruttura: segmentazione, firewall, protezioni DDoS, baseline di configurazione sicura, gestione delle vulnerabilità e patching.
  • Sicurezza applicativa: SDLC sicuro, code review, gestione delle dipendenze, gestione delle credenziali (secrets management), logging/monitoraggio.
  • Sicurezza operativa: piano di risposta agli incidenti, monitoraggio degli eventi di sicurezza, test di backup/ripristino, change management.
  • Sicurezza fisica: utilizzo di data center con protezioni conformi alle prassi di settore.
  • Personale e formazione: verifiche dei precedenti (background check) ove consentiti; formazione su riservatezza, sicurezza e privacy.
  • Rischio di terze parti: due diligence e controlli contrattuali per i Sub-responsabili; rivalutazioni periodiche.
  • Test e audit: penetration test e/o valutazioni indipendenti adeguate al profilo di rischio.

Allegato III — Sub-responsabili

Vedere l’Allegato 6 (Subprocessori/Sub-responsabili) dei Termini. Per chiarezza, la pubblicazione di un aggiornamento dell’elenco identificato nell’Allegato 6 costituisce notifica di una modifica. I diritti di opposizione e i rimedi sono quelli previsti nelle Sezioni 6(c)–(d) del presente DPA.

Sottoscrizione. Le Parti convengono che il presente DPA (incluse le SCC/IDTA incorporate) si intende sottoscritto dalle Parti e diventa efficace al momento dell’accettazione dei Termini da parte del Cliente.

Chiudere