Contratto Dropbox Business

Data di pubblicazione: 14 settembre 2016

Il presente Contratto Dropbox Business (il "Contratto") viene stipulato tra Dropbox International Unlimited Company, se l'organizzazione del cliente ha sede al di fuori di Stati Uniti, Canada e Messico ("Nord America"), o tra Dropbox, Inc., una società del Delaware ("Dropbox"), se l'organizzazione del cliente ha sede in Nord America, e l'organizzazione che accetta i presenti termini ("Cliente"). Il presente Contratto regola l'accesso e l'uso del software client e dei servizi Dropbox Business (assieme, "Dropbox Business"), nonché di tutti i Servizi Beta che vengono resi disponibili al Cliente (assieme, con Dropbox Business, i "Servizi"). Facendo clic su "Accetto", firmando il contratto per i Servizi o utilizzando gli stessi, si accetta il presente Contratto come Cliente.

Nella misura in cui Dropbox, Inc. elabora, per conto del Cliente, i Dati del cliente che sono soggetti alle leggi nazionali di attuazione della direttiva dell'Unione Europea sulla tutela dei dati (95/46/EC) ( "Leggi UE sulla tutela dei dati"), facendo clic su "Accetto" accetti anche le Clausole contrattuali tipo dell'Unione Europea con Dropbox, Inc. per il trasferimento di dati personali agli incaricati del trattamento indicati nel Prospetto 1.

Se accetti il presente Contratto e il Prospetto 1 (se applicabile) per l'uso dei Servizi da parte di un'organizzazione, li accetti per conto di tale organizzazione. In questo caso, devi avere l'autorità per vincolare l'organizzazione al rispetto di tali termini. In caso contrario, non devi registrarti ai Servizi.

1. Servizi.
   1. Fornitura dei servizi. Il Cliente e gli utenti dell'account dei Servizi del Cliente ("Utenti finali") possono accedere e utilizzare i Servizi ai sensi del presente Contratto.
   2. Strutture ed Elaborazione dei dati. Dropbox utilizzerà, come requisito minimo, misure di sicurezza tecniche e organizzative standard nel settore per trasferire, archiviare ed elaborare i Dati del cliente. Tali misure sono concepite per tutelare l'integrità dei Dati del cliente e proteggere dall'accesso, utilizzo ed elaborazione non autorizzati e illegittimi dei Dati del cliente. Il Cliente acconsente al trasferimento, archiviazione ed elaborazione da parte di Dropbox dei Dati del cliente negli Stati Uniti e in località diverse dal Paese del Cliente. Nella misura in cui i dati del cliente sono soggetti alle Leggi UE sulla tutela dei dati e sono elaborati da Dropbox in qualità di incaricato del trattamento dei dati che agisce per conto del Cliente (come responsabile del trattamento), Dropbox userà ed elaborerà tali Dati del cliente come specificato dal Cliente al fine di fornire i Servizi e adempiere agli obblighi di Dropbox ai sensi del Contratto. Per "Dati del cliente" si intendono i Dati archiviati e i Dati dell'account. Per "Dati archiviati" si intendono i file e i dati strutturati inviati ai Servizi dal Cliente o dagli Utenti finali. Per "Dati dell'account" si intendono l'account e i dati di contatto inviati ai Servizi dal Cliente o dagli Utenti finali.
   3. Modifiche ai Servizi. Dropbox si riserva il diritto di aggiornare periodicamente i Servizi. Qualora Dropbox modifichi i Servizi in modo da ridurne materialmente la funzionalità, sarà tenuto a informare il Cliente tramite l'indirizzo email associato all'account.
   4. Software. Alcuni Servizi consentono al Cliente di scaricare il software di Dropbox, che può aggiornarsi automaticamente. Il Cliente può utilizzare il software esclusivamente per accedere ai Servizi. Se un qualsiasi componente del software è offerto con licenza open source, Dropbox darà la disponibilità di tale licenza al Cliente e la fornitura della stessa può espressamente avere la precedenza su alcuni dei termini del presente Contratto.
   5. Servizi Beta. Dropbox si riserva di fornire funzioni o prodotti che sta ancora testando e valutando. Questi prodotti e funzioni sono conosciuti come alfa, beta, anteprima, accesso anticipato o valutazione o con parole o frasi dal significato simile (insieme "Servizi Beta"). Indipendentemente da quanto disposto nel presente Contratto o nel Prospetto 1, i seguenti termini si applicano a tutti i Servizi Beta: (a) puoi utilizzare o rifiutarti di utilizzare qualsiasi Servizio Beta; (b) i Servizi Beta possono non essere supportati e possono essere cambiati in qualsiasi momento senza che tu ne sia informato; (c) i Servizi Beta possono non essere altrettanto affidabili o disponibili quanto Dropbox Business; (d) i Servizi Beta non sono stati sottoposti alle stesse misure di sicurezza e controllo di Dropbox Business e (e) DROPBOX NON SI ASSUME ALCUNA RESPONSABILITÀ DERIVANTE O CORRELATA AI SERVIZI BETA - USALI A TUO RISCHIO E PERICOLO.
2. Obblighi del Cliente.
   1. Conformità. Il Cliente è responsabile per l'utilizzo dei Servizi da parte degli Utenti finali. I Clienti e gli Utenti finali devono utilizzare i Servizi in conformità con le Norme sull'uso accettabile. Il cliente dovrà ottenere dagli Utenti finali l'eventuale consenso per permettere agli Amministratori di svolgere le attività descritte nel presente Contratto e per consentire a Dropbox di fornire i Servizi. Il cliente dovrà rispettare le leggi e i regolamenti (ove esistenti) applicabili all'uso dei Servizi da parte del Cliente.
   2. Amministrazione dei Servizi da parte del Cliente. Il Cliente può designare alcuni Utenti finali come "Amministratori" attraverso la console amministratore. Gli Amministratori possono accedere, divulgare, restringere l'accesso o rimuovere Dati del cliente all'interno di o dagli account dei Servizi. Gli amministratori possono anche monitorare, restringere o disattivare l'accesso agli account dei Servizi. Le responsabilità di Dropbox non includono la gestione interna o l'amministrazione dei Servizi. Il cliente è responsabile di: (i) mantenere la riservatezza delle password e degli account degli Amministratori; (ii) gestire l'accesso agli account degli Amministratori e (iii) assicurarsi che l'uso dei Servizi da parte degli Amministratori rispetti il presente Contratto. Il Cliente riconosce che, se acquista i Servizi tramite un rivenditore e delega membri del personale di tale rivenditore come amministratori del proprio account dei Servizi, tale rivenditore può essere in grado di controllare le informazioni dell'account, compresi i dati del Cliente, e accedere all'account dei Servizi del Cliente, come descritto più dettagliatamente sopra.
   3. Uso e accesso non autorizzato. Il Cliente deve impedire l'uso non autorizzato dei Servizi da parte degli Utenti finali e terminare qualsiasi uso o accesso non autorizzato ai Servizi. I Servizi non possono essere utilizzati da Utenti finali di età inferiore a 13 anni. Il Cliente deve assicurarsi di non consentire a nessuna persona minore di 13 anni di utilizzare i Servizi. Il Cliente comunicherà tempestivamente a Dropbox qualsiasi uso o accesso non autorizzato ai Servizi.
   4. Restrizioni all'uso. Al Cliente è fatto divieto di (i) vendere, rivendere o noleggiare i servizi; (ii) utilizzare i Servizi per attività nelle quali l'uso o il mancato funzionamento dei Servizi può comportare danni fisici, decessi o lesioni personali, oppure (iii) decodificare i Servizi, nonché tentare o aiutare qualcuno a farlo, a meno che tale restrizione sia proibita dalla legge.
   5. Richieste di terze parti.
      1. Per "Richiesta di terze parti" si intende la richiesta da parte di terzi di dati relativi all'uso dei Servizi di un Utente finale, includendo le informazioni contenute all'interno di o provenienti da un account di un Utente finale o dei Servizi del Cliente. Le Richieste di terze parti possono includere mandati di perquisizione, ordinanze dei tribunali, mandati di comparizione o qualsiasi altra richiesta per la quale esiste un consenso scritto da parte degli Utenti finali che consente la divulgazione.
      2. Il Cliente è responsabile della risposta alle Richieste di terze parti utilizzando il proprio accesso alle informazioni. Il Cliente deve cercare di ottenere le informazioni richieste per rispondere alle Richieste di terze parti e contatterà Dropbox solo nel caso in cui non sia in grado di ottenere tali informazioni nonostante abbia compiuto sforzi ragionevoli.
      3. Dropbox sfrutterà ogni mezzo commerciale a sua disposizione nei limiti previsti dalla legge e dai termini della Richiesta di terze parti per: (A) comunicare tempestivamente al Cliente la ricezione da parte di Dropbox della Richiesta di terzi parti; (B) soddisfare qualsiasi richiesta commerciale ragionevole del cliente per opporsi alla Richiesta di terze parti; e (C) offrire al Cliente le informazioni o gli strumenti richiesti per rispondere alla Richiesta di terze parti (se il cliente non fosse in grado di ottenere le informazioni in altro modo). Se il Cliente non rispondesse tempestivamente alla Richiesta di terze parti, Dropbox potrebbe farlo, pur non trattandosi di un suo obbligo.
3. Servizi di terze parti. Se il Cliente usa un servizio di terze parti (ad esempio, un servizio che utilizza un'API di Dropbox) con i Servizi, (a) Dropbox non sarà responsabile di eventuali azioni o omissioni delle terze parti, includendo l'accesso o l'uso da parte delle terze parti dei Dati del cliente e (b) Dropbox non garantisce o supporta nessun servizio fornito da terze parti.
4. Sospensione
   1. di account di Utenti finali da parte di Dropbox. Se un Utente finale (i) vìola il presente Contratto o (ii) utilizza i Servizi in modo tale che Dropbox possa ritenere ragionevolmente di essere considerato responsabile di eventuali danni, Dropbox può richiedere al Cliente di sospendere o disattivare l'account dell'Utente finale coinvolto. Nel caso in cui il Cliente non sospenda o disattivi tempestivamente l'account dell'Utente finale, Dropbox può farlo al suo posto.
   2. Emergenze relative alla sicurezza. Indipendentemente da quanto disposto nel presente Contratto, in caso di emergenze relative alla sicurezza, Dropbox si riserva il diritto di sospendere automaticamente l'uso dei Servizi. Dropbox metterà in atto qualsiasi iniziativa commercialmente ragionevole a sua disposizione per limitare il più possibile la sospensione nella misura necessaria a prevenire o rispondere all'emergenza. Per "Emergenze relative alla sicurezza" si intendono: (i) un utilizzo dei Servizi che provoca o può provocare un'interruzione degli stessi, l'utilizzo di questi ultimi da parte di altri Clienti o danni all'infrastruttura utilizzata per fornire gli stessi e (ii) accessi non autorizzati di terze parti ai Servizi.
5. Diritti di proprietà intellettuale.
   1. Riserva di diritti. A eccezione di quanto qui espressamente stabilito, il presente Contratto non attribuisce (i) a Dropbox nessun Diritto di proprietà intellettuale sui Dati del cliente, né tanto meno (ii) al Cliente nessun Diritto di proprietà intellettuale sui Servizi o sui marchi e caratteristiche del marchio di Dropbox. Per "Diritti di proprietà intellettuale" si intendono diritti attuali e futuri a livello mondiale relativi a brevetti, copyright, segreti commerciali, marchi commerciali, diritti morali e altri diritti simili.
   2. Autorizzazione limitata. Il Cliente attribuisce a Dropbox solo i diritti limitati ragionevolmente necessari a Dropbox per offrire i Servizi (ad esempio l'hosting dei Dati archiviati). Tale autorizzazione si estende anche ai nostri affiliati e ai soggetti terzi affidabili con cui Dropbox lavora per fornire i Servizi (ad esempio il fornitore dei servizi di pagamento utilizzato per elaborare il pagamento delle tariffe).
   3. Suggerimenti. Dropbox può, a sua esclusiva discrezione e per qualunque scopo, utilizzare, modificare e incorporare ai propri prodotti e servizi, licenze e sublicenze, qualsiasi feedback, commento o suggerimento che Cliente o Utenti finali inviano a Dropbox o pubblicano nei forum di Dropbox, senza nessun obbligo nei confronti del Cliente.
   4. Elenco clienti. Dropbox può includere il nome del Cliente in un elenco di clienti di Dropbox sul proprio sito web o in materiali promozionali.
6. Tariffe e pagamento.
   1. Tariffe. Il Cliente pagherà tutte le tariffe applicabili e autorizza Dropbox o il proprio rivenditore ad addebitargli i relativi importi utilizzando il metodo di pagamento selezionato. Le tariffe non sono rimborsabili tranne nei casi previsti dalla legge. È responsabilità del cliente fornire a Dropbox o al proprio rivenditore dati per la fatturazione e di contatto completi e accurati. Dropbox si riserva il diritto di sospendere o interrompere i Servizi in caso di mancato pagamento delle tariffe.
   2. Rinnovi automatici e periodi di prova. SE L'ACCOUNT DEL CLIENTE È CONFIGURATO PER IL RINNOVO AUTOMATICO O È IN UN PERIODO DI PROVA, DROPBOX (O IL RIVENDITORE DEL CLIENTE) PUÒ ADDEBITARE AUTOMATICAMENTE GLI IMPORTI DOVUTI AL TERMINE DEL PERIODO DI PROVA O PER IL RINNOVO, A MENO CHE IL CLIENTE NON COMUNICHI A DROPBOX (O AL PROPRIO RIVENDITORE) CHE DESIDERA ANNULLARE O DISATTIVARE IL RINNOVO AUTOMATICO. Dropbox si riserva di rivedere le tariffe dei Servizi inviando al Cliente una comunicazione almeno 30 giorni prima dell'addebito successivo.
   3. Imposte. Il Cliente è responsabile del pagamento di qualsiasi imposta applicabile. Dropbox o il rivenditore del Cliente addebiterà le imposte dovute quando necessario. Se il Cliente è tenuto per legge a trattenere eventuali imposte, deve fornire a Dropbox o al proprio rivenditore una ricevuta fiscale ufficiale o altri documenti appropriati.
   4. Ordini di acquisto. Se il Cliente richiede l'utilizzo di un ordine di acquisto o di un numero di ordine di acquisto, (i) deve fornire tale numero di ordine di acquisto al momento dell'acquisto e (ii) accetta che i termini e le condizioni di un proprio ordine di acquisto non vengano applicati al presente Contratto e siano nulli e privi di effetto. Se il Cliente acquista tramite un rivenditore, eventuali termini e condizioni dettati dal rivenditore o presenti in un ordine di acquisto tra il cliente e il rivenditore che siano in conflitto con il Contratto Dropbox Business sono nulli e senza valore.
7. Termine e cessazione.
   1. Termine. Il presente Contratto rimarrà in vigore fino alla scadenza o al termine dell'abbonamento da parte del Cliente ai Servizi oppure quando il Contratto viene rescisso.
   2. Cessazione per violazione. Dropbox o il Cliente possono terminare il presente Contratto se: (i) l'altra parte è in violazione materiale del Contratto e non sana tale violazione entro 30 giorni dalla ricezione di una notifica scritta o (ii) l'altra parte cessa la propria attività o è soggetta a procedure di insolvenza e non vi pone rimedio entro 90 giorni.
   3. Effetti della cessazione. Al termine del presente Contratto: (i) i diritti garantiti da Dropbox al Cliente cessano immediatamente (a eccezione di quanto stabilito nel prosieguo di questa sezione); (ii) Dropbox si riserva di fornire al Cliente accesso al suo account alle tariffe vigenti al momento in modo che il Cliente possa esportare i propri Dati archiviati; e (iii) dopo un periodo commercialmente ragionevole, Dropbox si riserva il diritto di eliminare qualsiasi Dato archiviato relativo all'account del Cliente. Le sezioni seguenti continueranno a essere in vigore dopo la scadenza o la cessazione del presente Contratto: 2(e) (Richieste di terze parti), 5 (Diritti di proprietà intellettuale), 6 (Tariffe e pagamento), 7(c) (Effetti della cessazione), 8 (Indennizzo), 9 (Dichiarazioni di non responsabilità), 10 (Limitazione di responsabilità), 11 (Controversie) e 12 (Varie).
8. Indennizzo.
   1. Da parte del Cliente. Il Cliente indennizzerà, difenderà e manterrà indenne Dropbox da e nei confronti di qualsiasi responsabilità, danno e costo (compresi costi delle transazioni e spese legali ragionevoli) derivanti da un reclamo di terze parti nei confronti di Dropbox o di suoi affiliati riguardante: (i) Dati del cliente; (ii) uso dei Servizi da parte del Cliente in violazione del presente Contratto; o (iii) uso dei Servizi da parte degli Utenti finali in violazione del presente Contratto.
   2. Da parte di Dropbox. Dropbox indennizzerà, difenderà e manterrà indenne il Cliente da e nei confronti di qualsiasi responsabilità, danno e costo (compresi costi delle transazioni e spese legali ragionevoli) derivanti da un reclamo di terze parti nei confronti del Cliente che si basi sull'accusa che la tecnologia utilizzata da Dropbox per la fornitura dei servizi al Cliente violi o si appropri indebitamente di qualsiasi copyright, segreto commerciale, brevetto statunitense o marchio commerciale della terza parte. In nessun caso Dropbox sarà ritenuto responsabile in base alla presente sezione per: (i) l'uso di qualsiasi parte dei Servizi in forma modificata o in combinazione con materiali non forniti da Dropbox e (ii) qualsiasi contenuto, informazione o dato fornito da Cliente, Utenti finali o altre terze parti.
   3. Possibili violazioni. Se Dropbox ritiene che i Servizi vìolino o sospetta che possano violare i Diritti di proprietà intellettuale di terze parti, Dropbox può: (i) ottenere il diritto per il Cliente, a spese di Dropbox, di continuare a utilizzare i Servizi; (ii) fornire una funzione sostitutiva equivalente che non violi i diritti; o (iii) modificare i Servizi in modo che cessi la violazione. Se Dropbox non ritiene che le opzioni descritte in questa sezione siano ragionevoli dal punto di vista commerciale, può sospendere o impedire l'uso da parte del Cliente dei Servizi interessati (con un rimborso proporzionale delle tariffe pagate per i Servizi).
   4. Generale. La parte che invoca l'indennizzo deve comunicare tempestivamente all'altra parte il reclamo e cooperare con essa nella difesa dello stesso. La parte indennizzante avrà il controllo completo e si farà carico della difesa a eccezione che: (i) qualsiasi transazione che comporti un'ammissione di responsabilità da parte della parte che invoca l'indennizzo richieda il consenso previo per iscritto, che non può essere negato o ritardato senza motivo e che (ii) l'altra parte possa partecipare nella difesa con il proprio avvocato e a proprie spese. GLI INDENNIZZI SOPRA INDICATI RAPPRESENTANO L'UNICO RIMEDIO PER DROPBOX E PER IL CLIENTE IN BASE AL PRESENTE CONTRATTO IN CASO DI VIOLAZIONE, COMMESSA DALL'ALTRA PARTE, DEI DIRITTI DI PROPRIETÀ INTELLETTUALE DI UNA TERZA PARTE.
9. Dichiarazioni di non responsabilità. I SERVIZI VENGONO FORNITI "A SCATOLA CHIUSA". NEI LIMITI MASSIMI CONSENTITI DALLA LEGGE E A ECCEZIONE DI QUANTO ESPLICITAMENTE STABILITO NEL PRESENTE CONTRATTO, NÉ DROPBOX, NÉ I SUOI AFFILIATI, FORNITORI E DISTRIBUTORI RICONOSCONO ALCUNA GARANZIA DI NESSUN TIPO, IMPLICITA, ESPLICITA, LEGALE O DI ALTRO TIPO, INCLUSE GARANZIE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE O DI NON VIOLAZIONE. IL CLIENTE È RESPONSABILE DELLA GESTIONE E DEL BACKUP DEI DATI ARCHIVIATI.
10. Limitazione di responsabilità.
    1. Limitazione di responsabilità indiretta. NEI LIMITI MASSIMI CONSENTITI DALLA LEGGE, A ECCEZIONE DEGLI OBBLIGHI DI INDENNIZZO DA PARTE DI DROPBOX O DEL CLIENTE, NÉ IL CLIENTE NÉ DROPBOX E I SUOI AFFILIATI, FORNITORI E DISTRIBUTORI SARANNO RESPONSABILI AI SENSI DEL PRESENTE CONTRATTO PER (I) DANNI INDIRETTI, SPECIALI, ACCIDENTALI, CONSEQUENZIALI, ESEMPLARI O PUNITIVI O (II) PERDITA DI USO, DATI, GESTIONE, RICAVI O PROFITTI (DIRETTI O INDIRETTI IN ENTRAMBI I CASI), ANCHE SE LA PARTE ERA A CONOSCENZA O AVREBBE DOVUTO ESSERE A CONOSCENZA CHE TALI DANNI POTEVANO VERIFICARSI E ANCHE SE I DANNI NON VENGONO RIMEDIATI IN MODO SODDISFACENTE.
    2. Limitazione dell'importo della responsabilità. NEI LIMITI MASSIMI CONSENTITI DALLA LEGGE, LA RESPONSABILITÀ COMPLESSIVA DI DROPBOX IN BASE AL PRESENTE CONTRATTO NON SUPERERÀ L'IMPORTO MINORE TRA $ 100.000 E LA SOMMA PAGATA DAL CLIENTE PER I SERVIZI AI SENSI DEL PRESENTE CONTRATTO NEI DODICI MESI ANTECEDENTI L'EVENTO CHE HA ORIGINATO LA RESPONSABILITÀ.
11. Controversie.
    1. Risoluzione informale. È intenzione di Dropbox affrontare i problemi senza dover ricorrere alle vie legali. Prima di compilare un reclamo, ciascuna parte accetta di provare a risolvere la controversia contattando l'altra parte tramite le procedure di notifica descritte nella sezione 12(e). Qualora la controversia non venisse risolta entro 30 giorni dalla notifica, il Cliente o Dropbox può intentare una causa.
    2. Clausola d'arbitrato. Il Cliente e Dropbox accettano di risolvere qualsiasi reclamo relativo al presente Contratto o ai Servizi tramite arbitrato finale e vincolante, a eccezione di quanto previsto di seguito. L'American Arbitration Association (AAA) si occuperà dell'arbitrato ai sensi del Regolamento arbitrale commerciale. L'arbitrato si terrà a San Francisco (CA) o in qualsiasi altra sede concordata per iscritto da entrambi le parti.
    3. Eccezioni alla Clausola d'arbitrato. Entrambe le parti possono intentare una causa nei tribunali federali o statali della contea di San Francisco, California, USA esclusivamente per un procedimento ingiuntivo allo scopo di fermare un uso o abuso non autorizzato dei Servizi o una violazione dei Diritti di proprietà intellettuale senza prima avviare il processo di notifica della controversia informale descritto sopra. Sia il Cliente sia Dropbox accettano tale sede e tale giurisdizione.
    4. NESSUNA AZIONE COLLETTIVA. Il Cliente può risolvere le controversie con Dropbox soltanto in modo individuale e non potrà presentare un reclamo nell'ambito di un'azione collettiva, di gruppo o rappresentativa. Non sono consentiti arbitrati collettivi, azioni collettive, cause d'interesse generale portate avanti da un singolo avvocato e l'unione con altri arbitrati.
12. Varie.
    1. Modifiche dei termini. Dropbox si riserva il diritto di modificare periodicamente il presente Contratto, la cui versione più aggiornata verrà sempre pubblicata sul sito web di Dropbox Business. Se una revisione viene considerata essenziale a discrezione unica di Dropbox, Dropbox avviserà il Cliente (ad esempio inviando un'email all'indirizzo email associato all'account interessato). Altre revisioni possono essere pubblicate sul blog di Dropbox o sulle pagine dei termini e pertanto il Cliente è tenuto a consultare regolarmente tali pagine. Continuando ad accedere o utilizzare i Servizi dopo che le revisioni diventano effettive, il Cliente accetta di essere vincolato al Contratto modificato. Se il Cliente non è d'accordo con i nuovi termini del Contratto, può disattivare i Servizi entro 30 giorni dalla ricezione della notifica dei cambiamenti.
    2. Contratto indivisibile. Il presente Contratto, compresi la fattura del Cliente e il modulo d'ordine Dropbox (se applicabile), costituisce l'intero accordo tra il Cliente e Dropbox per quanto riguarda l'oggetto del presente Contratto e sostituisce qualsiasi contratto o accordo precedente o contemporaneo, sia scritto che verbale, con riferimento all'oggetto del presente Contratto. In caso di conflitto tra i documenti che costituiscono il presente Contratto, la priorità viene stabilita nel seguente ordine: la fattura Dropbox, il modulo d'ordine Dropbox, il Contratto.
    3. Legge applicabile. IL CONTRATTO SARÀ REGOLATO DALLE LEGGI DELLA CALIFORNIA A ECCEZIONE DEI CONFLITTI RIGUARDANTI I PRINCIPI DI LEGGE.
    4. Invalidità di singole clausole. Le clausole inapplicabili verranno modificate per riflettere l'intenzione delle parti e solo nella misura necessaria a renderle applicabili. Le clausole rimanenti del Contratto continueranno a essere in vigore.
    5. Notifiche. Le notifiche devono essere inviate mediante servizi di posta prioritaria, aerea o celere e sono considerate come consegnate alla loro ricezione. Le notifiche al Cliente possono essere anche inviate all'indirizzo email dell'account interessato e sono considerate come consegnate al loro invio. Le notifiche a Dropbox devono essere inviate a Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, USA con copia al Legal Department (Ufficio legale).
    6. Rinuncia. Una rinuncia a qualsiasi clausola non comporta una rinuncia alle restanti clausole.
    7. Cessione. Il Cliente non può cedere o trasferire il presente Contratto o qualsiasi diritto o obbligo stabilito dallo stesso senza il consenso scritto da parte di Dropbox. Dropbox non può cedere il presente Contratto senza informare il Cliente, a eccezione del fatto che Dropbox può assegnare il presente Contratto a un affiliato o in caso di fusione, acquisizione, riorganizzazione aziendale o vendita di tutte le sue risorse o di una parte significativa di esse senza informare il Cliente. Qualsiasi altro tentativo di trasferimento o cessione è da considerare nullo.
    8. Nessun mandato di agenzia. Dropbox e il Cliente non sono partner legali o agenti ma parti contraenti indipendenti.
    9. Forza maggiore. A eccezione degli obblighi di pagamento, né Dropbox né il Cliente saranno responsabili per una prestazione inadeguata in caso venga originata da una condizione che sfugge al controllo ragionevole della parte (ad esempio, disastri naturali, azioni di guerra o terroristiche, scioperi, azioni di enti pubblici e guasti a Internet).
    10. Assenza di soggetti terzi beneficiari. Non esistono soggetti terzi beneficiari nel presente Contratto. Senza alcun limite alla presente sezione, in base al presente Contratto, gli Utenti finali di un Cliente non sono soggetti terzi beneficiari dei diritti del Cliente in base al presente Contratto.
    11. Limitazioni all'esportazione. L'esportazione o ri-esportazione di Dati del cliente tramite i Servizi può essere sottoposta alle Norme statunitensi sulle esportazioni, ad altre restrizioni sulle esportazioni o embargo. È vietato utilizzare i Servizi a Cuba, in Iran, Corea del Nord, Sudan, Siria e in eventuali Paesi sottoposti a embargo da parte degli Stati Uniti e il Cliente non deve utilizzare i Servizi in violazione di qualsiasi restrizione alle esportazioni o embargo da parte degli Stati Uniti o qualsiasi altra giurisdizione pertinente. Inoltre, il Cliente deve assicurarsi che i Servizi non vengano forniti a persone che sono incluse nella Table of Denial Orders, nell'Entity List o nella List of Specially Designated Nationals.

Ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati

Nome dell'organizzazione esportatrice: il Cliente che è una parte del Contratto Dropbox Business con Dropbox International Unlimited Company
(l'"esportatore di dati")

e

Nome dell'organizzazione importatrice dei dati: Dropbox, Inc.
Indirizzo: 333 Brannan Street, San Francisco, CA 94107 USA
(l'importatoredei dati)

denominato ciascuno "parte" e congiuntamente "parti",

HANNO CONVENUTO le seguenti clausole contrattuali ("le clausole") al fine di prestare garanzie sufficienti con riguardo alla tutela della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall'esportatore all'importatore dei dati personali indicati nell'appendice 1.

Ai fini delle presenti clausole:

1. I termini "dati personali", "categorie particolari di dati", "trattamento", "responsabile del trattamento", "incaricato del trattamento", "interessato/persona interessata" e "autorità di controllo" hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati¹;
2. con "esportatore" s'intende il responsabile del trattamento che trasferisce i dati personali;
3. con "importatore" s'intende l'incaricato del trattamento stabilito in un paese terzo che s'impegni a ricevere dall'esportatore dati personali al fine di trattarli per conto e secondo le istruzioni dell'esportatore stesso, nonché a norma delle presenti clausole, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE;
4. con "subincaricato" s'intende l’incaricato del trattamento designato dall'importatore o da altro suo subincaricato, che s'impegni a ricevere dall'importatore o da altro suo subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell'esportatore, nonché a norma delle presenti clausole e del subcontratto in forma scritta;
5. con "normativa sulla protezione dei dati" si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui è si trova l’esportatore;
6. con "misure tecniche e organizzative di sicurezza" s'intendono le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

I dettagli del trasferimento, segnatamente le categorie speciali di dati personali, sono indicati nell'appendice 1 che costituisce parte integrante delle presenti clausole.

1. L'interessato può far valere, nei confronti dell’esportatore, la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a) ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario.
2. L'interessato può far valere, nei confronti dell'importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l'esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti gli obblighi dell'esportatore siano stati trasferiti, per contratto o per legge, all'eventuale successore che di conseguenza assume i diritti e gli obblighi dell'esportatore, nel qual caso l'interessato può far valere le suddette clausole nei confronti del successore.
3. L'interessato può far valere, nei confronti del subincaricato, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora sia l'esportatore che l'importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, a meno che tutti gli obblighi dell'esportatore siano stati trasferiti, per contratto o per legge, all'eventuale successore che di conseguenza assume i diritti e gli obblighi dell'esportatore, nel qual caso l'interessato può far valere le suddette clausole nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
4. Le parti non si oppongono a che l'interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell'interessato e sia ammessa dalla legislazione nazionale.

L'esportatore dichiara e garantisce quanto segue:

1. che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui si trova l'esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;
2. che ha richiesto all'importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;
3. che l'importatore fornirà sufficienti garanzie in merito alle misure tecniche e organizzative di sicurezza indicate nell'appendice 2;
4. che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di implementazione;
5. che provvederà all'osservanza delle misure di sicurezza;
6. che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE;
7. di trasmettere all'autorità di controllo per la tutela dei dati l'eventuale comunicazione presentata dall'importatore o dal subincaricato ai sensi della Clausola 5(b) e della Clausola 8(3), qualora decida di proseguire il trasferimento o revocare la sospensione;
8. di fornire, su richiesta degli interessati, copia delle presenti clausole, ad eccezione dell'Appendice 2, e una descrizione generale delle misure di sicurezza, nonché copia dei contratti dei servizi di trattamento dei dati da parte di terzi da effettuarsi in conformità delle presenti Clausole, omettendo le eventuali informazioni commerciali contenute nelle Clausole o nel contratto;
9. che, in caso di subcontratto, il subincaricato svolge l'attività di trattamento in conformità della clausola 11 garantendo un livello di protezione dei dati personali e dei diritti dell'interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole;
10. che provvederà all'osservanza della clausola 4, lettere da a) ad i).

L'importatore dichiara e garantisce quanto segue:

1. di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell'esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l'esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l'esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
2. di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell'esportatore o di adempiere agli obblighi contrattuali, e di comunicare all'esportatore, non appena ne abbia conoscenza, qualsiasi modifica di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l'esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;
3. di aver applicato le misure tecniche e organizzative di sicurezza indicate nell'appendice 2 prima di procedere al trattamento dei dati personali trasferiti;
4. che comunicherà prontamente all'esportatore:
   1. qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini;
   2. qualsiasi accesso accidentale o non autorizzato; e
   3. qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;
5. che risponderà prontamente e adeguatamente a tutte le richieste dell'esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell'autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
6. che sottoporrà i propri impianti di trattamento, su richiesta dell'esportatore, al controllo dell'esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall'esportatore, eventualmente di concerto con l'autorità di controllo;
7. che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l'appendice 2, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall'esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto;
8. che, in caso di subcontratto, ha provveduto a informare l'esportatore e ha da questi ottenuto il consenso scritto;
9. che il subincaricato svolgerà l'attività di trattamento in conformità alla clausola 11;
10. che invierà prontamente all'esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.

1. Le parti convengono che l'interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera di una parte o del subincaricato ha diritto di ottenere dall'esportatore il risarcimento del danno sofferto.
2. Qualora l'interessato non sia in grado di avanzare una richiesta di risarcimento di cui al paragrafo 1 nei confronti dell'esportatore dei dati per violazione di uno degli obblighi di cui alla Clausola 3 o alla Clausola 11 ad opera dell'importatore o del subincaricato, in quanto l'esportatore è scomparso di fatto, ha giuridicamente cessato di esistere o è divenuto insolvente, l'importatore riconosce all'interessato stesso il diritto di agire nei suoi confronti così come se fosse l'esportatore, a meno che tutti gli obblighi dell'esportatore siano stati trasferiti, per contratto o per legge, all'eventuale successore, nel qual caso l'interessato può far valere i suoi diritti nei confronti del successore.
   L'importatore non può far valere la violazione degli obblighi ad opera del subincaricato al fine di escludere la propria responsabilità.
3. Qualora l'interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell'esportatore o dell'importatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera del subincaricato, in quanto sia l'esportatore che l'importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce all'interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole così come se egli fosse l'esportatore o l'importatore, a meno che tutti gli obblighi dell'esportatore o dell'importatore siano stati trasferiti, per contratto o per legge, all'eventuale successore, nel qual caso l'interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.

1. L'importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato:
   1. di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell'autorità di controllo;
   2. di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l'esportatore.
2. Le parti dichiarano che la scelta compiuta dall'interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.

Clausola 8

Collaborazione con le autorità di controllo

1. L'esportatore si impegna a depositare una copia del presente contratto presso l'autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa sulla protezione dei dati.
2. Le parti dichiarano che l'autorità di controllo ha il diritto di sottoporre a controlli l'importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l'esportatore dalla normativa sulla protezione dei dati.
3. L'importatore informa prontamente l'esportatore dell'esistenza di disposizioni normative applicabili all'importatore o ai subincaricati, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l'esportatore ha facoltà di prendere le misure di cui alla clausola 5, lettera b).

Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.

Le parti si impegnano a non alterare o non modificare le presenti clausole. Ciò non osta a che le parti inseriscano altre clausole commerciale ritenute necessarie, purché non siano in contrasto con le clausole.

1. L'importatore non può subcontrattare i trattamenti effettuati per conto dell'esportatore ai sensi delle presenti clausole senza il previo consenso scritto dell'esportatore stesso. L'importatore che, con il consenso dell'esportatore, affidi in subcontratto l'esecuzione degli obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest'ultimo gli obblighi cui è egli stesso tenuto in virtù delle clausole³. L'importatore rimane pienamente responsabile nei confronti dell'esportatore per l'inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall'accordo scritto.
2. Nell'accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, a favore dell'interessato che non sia in grado di proporre l'azione di risarcimento di cui alla clausola 6, paragrafo 1, nei confronti dell'esportatore o dell'importatore in quanto l'esportatore e l'importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l'insieme dei loro obblighi. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
3. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è stabilito l'esportatore.
4. L'esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti clausole e comunicati dall'importatore a norma della clausola 5, lettera j), e lo aggiorna almeno una volta all'anno. L'elenco sarà tenuto a disposizione dell'autorità di controllo dell'esportatore.

Obblighi al termine dell'attività di trattamento dei dati personali

1. Le parti convengono che al termine dell’attività di trattamento l'importatore e il subincaricato provvedono, a scelta dell'esportatore, a restituire a quest'ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all'esportatore l'avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l'importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.
2. L'importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell'esportatore e/o dell'autorità di controllo, ai fini della verifica dell'esecuzione dei provvedimenti di cui al paragrafo 1.

I termini in maiuscolo utilizzati nelle sezioni da A a C e nelle Appendici, ma non definiti nelle Clausole avranno il significato previsto nel Contratto di Dropbox Business tra l'esportatore di dati e Dropbox International Unlimited Company.

1. Audit di sicurezza. L'importatore dispone delle certificazioni ISO/IEC 27001:2013 e ISO/IEC 27018:2014, che sono rilasciate da società terze di revisione indipendenti. L'importatore continuerà a sottoporsi ai regolari controlli ISO/IEC 27001:2013 e ISO/IEC 27018 necessari per il mantenimento di tali certificazioni per i Servizi durante il Termine. L'importatore è anche soggetto a controlli regolari del Service Organization Control 2 (SOC 2) Type II. Con riserva degli obblighi di riservatezza dell'importatore e non più di una volta all'anno, l'importatore fornirà all'esportatore una copia del rapporto SOC 2 Type II, dietro richiesta scritta. L'importatore renderà disponibili nuovi rapporti SOC 2 al loro completamento, con riserva dei requisiti di riservatezza dell'importatore. L'importatore revisiona regolarmente le sue organizzazioni terze fornitrici di sub-servizi, che vengono sottoposte ai controlli Standards for Attestation Engagements No. 16 (SSAE 16) / International Standard on Assurance Engagements No. 3402 (ISAE 3402) Service Organization Control 1 (SOC 1) Type II o Service Organization Control 2 (SOC 2) Type II che valutano la struttura e l'efficacia delle loro norme, procedure e controlli relativi alla sicurezza.

   L'esportatore concorda che gli obblighi dell'importatore enunciati in questa sezione A soddisfano pienamente i diritti di controllo ai sensi della clausola 5, lettera f) e della clausola 12 lettera 2) delle Clausole.

2. Subcontratto. L'importatore può coinvolgere altre aziende per fornire parti limitate dei Servizi (compresi i servizi di supporto) per conto dell'importatore, e l'esportatore acconsente che l'importatore subappalti il trattamento dei dati personali a tali subincaricati, come descritto nelle clausole. L'importatore farà in modo che qualsiasi subincaricato acceda ai dati personali e li utilizzi esclusivamente per fornire i Servizi secondo quanto stabilito in un contratto scritto tra l'importatore e il subincaricato. L'esportatore riconosce che tutti gli obblighi applicabili all'importatore ai sensi delle clausole in materia dei contratti con i subincaricati saranno soddisfatti per intero, a condizione che il subcontratto tra l'importatore e il subincaricato fornisca almeno il livello di protezione dei dati richiesto ai sensi del contratto di Dropbox Business.
3. Responsabilità. Le clausole sono soggette alle limitazioni ed esclusioni di responsabilità contenute nella sezione "Limitazione di responsabilità" del contratto di Dropbox Business, tali che la responsabilità totale dell'importatore di dati e di Dropbox International Unlimited Company, nel complesso, non supererà i limiti stabiliti nel Contratto Dropbox Business. Per evitare ambiguità, l'esportatore di dati non ha diritto al risarcimento da parte sia dell'importatore di dati che di Dropbox International Unlimited Company in relazione alla stessa perdita.

La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti.

Gli Stati membri hanno facoltà di integrare o specificare ulteriormente, conformemente alle rispettive procedure nazionali, qualsiasi altra informazione che debba fare parte della presente appendice.

Esportatore

(specificare brevemente le attività pertinenti al trasferimento):

Il Cliente del Contratto Dropbox Business con Dropbox International Unlimited Company.

Importatore

(specificare brevemente le attività pertinenti al trasferimento):

Dropbox, Inc., un fornitore globale di servizi cloud per le persone fisiche e le imprese. Dropbox, Inc. e i suoi affiliati forniscono un sito web, software e applicazioni mobili che consentono alle persone di archiviare i file, sincronizzare i file su più dispositivi e collaborare con altre persone. Al servizio di Dropbox Inc. è possibile anche accedere tramite interfacce di programmazione delle applicazioni (API).

Interessati

I dati personali trasferiti interessano le seguenti categorie di persone (specificare):

L'esportatore e gli utenti finali degli affiliati dell'esportatore, tra cui i dipendenti, i consulenti e i collaboratori dell'esportatore, così come tutte le persone che collaborano o che condividono con questi utenti finali utilizzando i servizi forniti dall'importatore.

Categorie di dati oggetto di trasferimento

I dati trasferiti interessano le seguenti categorie di dati (specificare):

Le informazioni di identificazione degli utenti finali e i dati delle organizzazioni (sia online che offline), così come i documenti, le immagini e gli altri contenuti o dati in forma elettronica che sono archiviati o trasmessi dagli utenti finali tramite i servizi dell'importatore.

Trattamento

I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento (specificare):

L'importatore o suoi subincaricati utilizzeranno ed elaboreranno i dati personali e l'esportatore dà istruzioni all'importatore di utilizzare ed elaborare i dati personali al fine di fornire i Servizi definiti nel Contratto di Dropbox Business.

La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti.

Descrizione delle misure tecniche e organizzative di sicurezza attuate dall'importatore in conformità della clausola 4, lettera d), e della clausola 5, lettera c) (o del documento/atto legislativo allegato):

Informazioni di contatto relative alla privacy dei dati

L'addetto alla privacy dei dati dell'importatore può essere contattato all'indirizzo privacy@dropbox.com

Misure di sicurezza

L'importatore ha attuato e manterrà le adeguate misure amministrative, tecniche e fisiche per proteggere i dati personali, come descritto più in dettaglio nel Libro bianco sulla sicurezza di Dropbox Business (disponibile a partire dalla sua data di decorrenza all'indirizzo: https://www.dropbox.com/…/Security_Whitepaper.pdf) e anche riportato qui di seguito. L'importatore può periodicamente aggiornare queste misure di sicurezza con la versione più recente disponibile all'indirizzo di cui sopra (o altro indirizzo comunicato dall'importatore), a condizione tuttavia che l'importatore notifichi all'esportatore nel caso in cui aggiorni le misure di sicurezza in un modo che riduce sostanzialmente le caratteristiche amministrative, tecniche o fisiche della sicurezza descritte in quel documento o nella presente appendice 2.

1. Sicurezza del servizio
   1. Architettura di Dropbox. Il servizio dell'importatore è stato progettato con più livelli di protezione, che coprono il trasferimento dei dati, la crittografia, la configurazione di rete e controlli a livello di applicazione che sono distribuiti in un'infrastruttura sicura e scalabile. Gli utenti finali del servizio dell'importatore possono accedere ai file e alle cartelle in qualsiasi momento dal desktop, dal Web e da client mobili. Tutti questi client si collegano a servizi sicuri per consentire l'accesso ai file, permettere la condivisione dei file con altri utenti e aggiornare i dispositivi collegati quando i file vengono aggiunti, modificati o eliminati. Il servizio può essere utilizzato attraverso varie interfacce. Tutte le interfacce hanno impostazioni e caratteristiche di sicurezza che elaborano e proteggono i dati degli utenti assicurando al contempo la facilità di accesso. 
   2. Affidabilità. Il servizio dell'importatore è sviluppato con diversi livelli di ridondanza che impediscono la perdita di dati e assicurano la disponibilità.
   3. Crittografia. Per proteggere i dati in transito tra l'esportatore e l'importatore, l'importatore utilizza la tecnologia Secure Sockets Layer (SSL)/Transport Layer Security (TLS) per il trasferimento dei dati, creando un tunnel sicuro protetto da crittografia Advanced Encryption Standard (AES) a 128 bit o superiore. I dati dei file archiviati sono criptati usando la crittografia AES a 256 bit. L'infrastruttura di gestione delle chiavi di crittografia dell'importatore è progettata con controlli di sicurezza operativi, tecnici e procedurali che prevedono un accesso diretto molto limitato alle chiavi. La generazione, lo scambio e l'archiviazione di chiavi sono distribuiti per decentralizzare l'elaborazione.
   4. Funzionalità di gestione utente. Gli utenti finali del servizio dell'importatore hanno la possibilità di ripristinare i file smarriti e recuperare un numero illimitato delle versioni precedenti dei file, assicurando così che le modifiche a tali file possano essere tracciate e recuperate. Il servizio dell'importatore consente l'utilizzo di una procedura di autenticazione in due passaggi, che aggiunge un ulteriore livello di protezione.
   5. Data center. I sistemi aziendali e di produzione dell'importatore sono ospitati in data center di organizzazioni terze di sub-servizi, ubicati negli Stati Uniti. Tutti i rapporti Service Organization Control (SOC) 1 e/o SOC 2 dei data center delle organizzazioni di sub-servizi vengono rivisti dall'importatore almeno annualmente per verificare la presenza di controlli di sicurezza sufficienti. 
2. Sicurezza delle informazioni.
   1. Norme. L'importatore ha stabilito un insieme scrupoloso di norme sulla sicurezza che comprende le aree della sicurezza delle informazioni, della sicurezza fisica, della risposta agli incidenti, dell'accesso logico, dell'accesso fisico alla produzione, della gestione del cambiamento e dell'assistenza. Queste norme vengono riesaminate e approvate con cadenza almeno annuale. Al personale dell'importatore vengono comunicati gli aggiornamenti a queste norme e viene fornita formazione sulla sicurezza.
   2. Norme sul personale e accesso. Le norme interne dell'importatore richiedono procedure di ingresso del personale che prevedono accertamenti personali (come previsto dalla normativa locale vigente), dichiarazioni sulla conoscenza delle norme di sicurezza, comunicazione degli aggiornamenti delle norme di sicurezza e accordi di non divulgazione. L'accesso viene immediatamente sospeso nel momento in cui il dipendente o il collaboratore lascia l'azienda. L'importatore utilizza controlli tecnici sugli accessi e norme interne per impedire ai dipendenti o ai collaboratori di accedere di loro iniziativa ai dati dei file e per limitare l'accesso ai metadati e ad altre informazioni relative agli account degli utenti finali. Al fine di tutelare la privacy e la sicurezza degli utenti finali, solo un numero ristretto di dipendenti o collaboratori può accedere all'ambiente in cui vengono archiviati i file degli utenti finali. I responsabili registrano le richieste, le motivazioni e le approvazioni relative agli accessi, i quali vengono concessi da opportuni soggetti.
   3. Sicurezza della rete. Le tecniche di protezione e monitoraggio della rete adottate dall'importatore sono studiate per fornire più livelli di protezione e difesa. Al fine di garantire che solo il traffico idoneo sia in grado di raggiungere la propria infrastruttura, l'importatore utilizza tecniche di protezione rispondenti agli standard del settore, compresi firewall, monitoraggio della sicurezza della rete e sistemi di rilevamento delle intrusioni.
   4. Gestione del cambiamento. L'importatore garantisce che i cambiamenti correlati con la sicurezza siano stati autorizzati prima della loro implementazione negli ambienti di produzione. Le modifiche del codice sorgente vengono iniziate dagli sviluppatori che desiderano apportare migliorie all'applicazione o al servizio di un importatore. I cambiamenti apportati all'infrastruttura dell'importatore sono riservati esclusivamente al personale autorizzato. Le modifiche a livello di applicazione dei servizi devono superare procedure di test di Controllo qualità ("QA") automatico per verificare che siano rispettati i requisiti di sicurezza. Il completamento delle procedure di controllo qualità porta all'implementazione della modifica.
   5. Conformità. L'importatore, i suoi fornitori di data center e il suo provider di servizi gestiti sono sottoposti a controlli periodici della sicurezza che vengono eseguiti da terze parti indipendenti. L'importatore continuerà a partecipare ai regolari controlli ISO/IEC 27001:2013 e ISO/IEC 27018:2014. L'importatore, inoltre, analizza i rapporti SOC 1 e SOC 2 per tutte le organizzazioni di sub-servizi. Qualora il rapporto SOC 1 e/o SOC 2 dell'organizzazione di sub-servizi non sia disponibile, l'importatore esegue visite di sicurezza sul posto, per verificare che i controlli di sicurezza sugli aspetti fisici, ambientali e operativi applicabili siano conformi con i criteri di controllo e i requisiti contrattuali. L'importatore valuta certificazioni e attestazioni di conformità supplementari, che su base continuativa sono messe a disposizione dell'importatore da parte dei provider di sub-servizi.
3. Sicurezza fisica
   1. Infrastruttura. L'accesso fisico alle strutture delle aziende fornitrici di sub-servizi in cui risiedono i sistemi di produzione è limitato al personale autorizzato dall'importatore, ai fini dello svolgimento delle sue funzioni lavorative. A chiunque lo richieda verranno concesse ulteriori autorizzazioni per accedere alle strutture di produzione, dietro esplicita approvazione da parte degli opportuni responsabili.
   2. Uffici. L'importatore mantiene un team per la sicurezza fisica che è responsabile dell'applicazione della politica di sicurezza fisica e della supervisione della sicurezza all'interno degli uffici dell'azienda dell'importatore. L'accesso alle aree che contengono i servizi aziendali è limitato al personale autorizzato tramite ruoli con privilegi elevati concessi attraverso il sistema di accesso tramite badge.