Per i clienti di Superhuman Labs LLC che hanno accettato l'Addendum sulla privacy dei dati (DPA) prima del 29 ottobre 2025, si prega di consultare il DPA qui, salvo sostituzione.

Addendum sulla privacy dei dati di Superhuman

Data di entrata in vigore: 29 ottobre 2025

Questa traduzione è stata generata con l'ausilio dell'intelligenza artificiale e potrebbe contenere errori. È fornita esclusivamente per comodità dell'utente. In caso di discrepanze, la versione inglese è quella ufficiale e prevalente.

Il presente Addendum sulla privacy dei dati ("Addendum") è incorporato e soggetto ai termini e alle condizioni della versione corrente di qualsiasi accordo ("Accordo") tra l'utente ("Cliente") e Superhuman Platform Inc. ("Superhuman") (ciascuna una "Parte" e collettivamente le "Parti") che disciplina l'utilizzo dei Servizi da parte del Cliente.

Tutti i termini in maiuscolo non definiti nel presente Addendum hanno il significato loro attribuito nell'Accordo. Il presente Addendum riflette l'accordo tra le Parti in merito ai termini che disciplinano il trattamento da parte di Superhuman dei dati personali contenuti nei Dati del cliente ("Dati personali del cliente") e protetti dalle Leggi applicabili sulla privacy dei dati.

In caso di conflitto o incongruenza tra i termini dell'Accordo principale e il presente Addendum, i termini del presente Addendum prevarranno sull'Accordo e su qualsiasi altro documento contrattuale associato tra le Parti, nella misura di tale conflitto. Le Parti convengono quanto segue:

1. Definizioni

Ai fini del presente Addendum:

a. Per "Leggi applicabili sulla privacy dei dati" si intendono leggi o normative nazionali, federali, statali, provinciali o di altro tipo in materia di privacy, sicurezza e protezione dei dati, applicabili al Trattamento dei Dati personali del cliente, ivi comprese, senza limitazioni e ove applicabili: (i) le Leggi sulla privacy dei dati degli Stati Uniti e (ii) le Leggi europee sulla privacy dei dati, in ciascun caso modificate o sostituite di volta in volta.

b. Il "Quadro in materia di privacy dei dati" indica il quadro normativo UE-USA in materia di privacy dei dati, il quadro normativo Svizzera-USA in materia di privacy dei dati e l'estensione del Regno Unito ai programmi di autocertificazione del Quadro normativo UE-USA in materia di privacy dei dati (se applicabile), gestiti dal Dipartimento del Commercio statunitense; come modificati, superati o sostituiti. Per "Principi del Quadro normativo in materia di privacy dei dati" si intendono i Principi e i Principi supplementari contenuti nel Quadro pertinente in materia di privacy dei dati.

c. Per "Leggi europee sulla privacy dei dati" si intende, in relazione al Trattamento dei Dati personali del cliente: (i) il Regolamento generale sulla protezione dei dati (UE) 2016/679 ("GDPR"); (ii) il GDPR come integrato nella Legge del Regno Unito ai sensi della Sezione 3 dell'Accordo di recesso del Regno Unito dall'Unione europea del 2018 ("Leggi sulla privacy dei dati del Regno Unito"); e (iii) per quanto riguarda la Svizzera, la Legge federale sulla protezione dei dati del 19 giugno 1992 e le relative Ordinanze (il "DPA svizzero").

d. Per "Europa" si intende, ai fini del presente Addendum, l'Unione europea, l'Islanda, il Liechtenstein, la Norvegia, la Svizzera e il Regno Unito.

e. Per "SCC UE" si intendono le clausole contrattuali tipo per il trasferimento di dati personali verso Paesi terzi ai sensi del GDPR tra (i) titolari del trattamento e responsabili del trattamento o (a seconda delle circostanze) (ii) responsabili del trattamento e responsabili del trattamento, in ciascun caso, come approvato dalla Decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021 e con esclusione di eventuali clausole contrassegnate come opzionali.

f. Per "Incidente di sicurezza dei dati" si intende una violazione della sicurezza di Superhuman che comporti l'acquisizione, la distruzione, la perdita, l'alterazione accidentali o illegittime ovvero la divulgazione o l'accesso non autorizzati ai Dati personali del cliente trasmessi, archiviati o altrimenti trattati da Superhuman in relazione alla fornitura del Servizio. La definizione di "Incidente di sicurezza dei dati" non comprende tentativi o attività non riusciti che non compromettono la sicurezza dei Dati personali del cliente, ivi inclusi tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi Denial of Service e altri attacchi di rete a firewall o sistemi collegati in rete.

g. Per "Clausole contrattuali tipo" si intendono, ove applicabile, le SCC ("Standard Contractual Clauses") UE o le SCC del Regno Unito.

h. Per "Sub-responsabile del trattamento" si intende un responsabile del trattamento incaricato da Superhuman o dalle sue affiliate di fornire assistenza nella fornitura del Servizio o dei Servizi ai sensi dell'Accordo o del presente Addendum. I sub-responsabili del trattamento possono includere terze parti o affiliate di Superhuman, ma sono esclusi dipendenti, appaltatori o consulenti di Superhuman.

i. Per "Leggi sulla privacy dei dati degli Stati Uniti" si intendono il California Consumer Privacy Act, il Colorado Privacy Act, il Connecticut Act Concerning Personal Data Privacy and Online Monitoring, lo Utah Consumer Privacy Act e il Virginia Consumer Data Protection Act, nonché qualsiasi altra legge sulla privacy emanata da uno stato degli Stati Uniti, e loro successive modifiche e unitamente ai regolamenti attuativi applicabili, che garantiscono la tutela generale della privacy dei consumatori e distinguono tra titolari del trattamento e responsabili del trattamento.

j. Per "SCC del Regno Unito" si intendono le Clausole contrattuali tipo dell'Unione europea unitamente all'Addendum sul trasferimento internazionale dei dati (versione B1.0) approvato dal Commissario all'informazione del Regno Unito.

k. I termini "titolare del trattamento", "interessato", "dati personali", "trattare", "trattamento," e "responsabile del trattamento" hanno il significato loro attribuito dalle Leggi applicabili sulla privacy dei dati e includono i termini "azienda", "consumatore", "informazioni personali" e "fornitore di servizi". I termini "finalità aziendale", "finalità commerciale", "vendere" e "condividere" hanno il significato loro attribuito dalle Leggi sulla privacy dei dati degli Stati Uniti.

2. Ambito e finalità del trattamento

a. Il presente Addendum si applica nella misura in cui Superhuman tratta, in qualità di responsabile del trattamento o fornitore di servizi (a seconda dei casi), qualsiasi Dato personale del cliente protetto dalle Leggi applicabili sulla privacy dei dati. Superhuman tratterà i Dati personali del cliente esclusivamente come stabilito nel presente Addendum e in conformità con le Leggi applicabili sulla privacy dei dati.

b. Le Parti riconoscono e concordano che il Cliente è un titolare o responsabile del trattamento rispetto al Trattamento dei Dati personali del cliente e che Superhuman tratterà i Dati personali del cliente esclusivamente in qualità di responsabile del trattamento per conto del Cliente, come descritto più dettagliatamente nell'Allegato A (Descrizione del trattamento dei dati) del presente Addendum. Qualora agisca in qualità di responsabile del trattamento, il Cliente (i) adempierà agli obblighi di Superhuman nei confronti dei titolari del trattamento del Cliente ai sensi del presente Addendum, incluse, a seconda dei casi, le Clausole contrattuali tipo, e (ii) garantirà che qualsiasi trattamento dei dati intrapreso ai sensi del presente Addendum rifletta le istruzioni documentate fornite dal titolare finale del trattamento di tali dati.

c. Il Cliente incarica Superhuman di trattare i Dati personali del cliente in conformità con l'Accordo (compreso il presente Addendum) ed esclusivamente per le seguenti finalità:

(i) fornire, proteggere e monitorare il/i Servizio/i in conformità con l'Accordo;
(ii) eseguire l'attività di Trattamento avviata dal Cliente nell'ambito dell'utilizzo del Servizio (incluso, ad esempio, tramite una console amministrativa); e
(iii) rispettare altre istruzioni ragionevoli fornite dal Cliente che siano coerenti con i termini dell'Accordo e del presente Addendum.
Di conseguenza, il trattamento da parte di Superhuman viene effettuato per finalità aziendali, compresa l'esecuzione di servizi per conto del Cliente, contribuendo a garantire la sicurezza e l'integrità, il debugging e la correzione di errori.

d. Fatta salva la Sezione 3 (Responsabilità del cliente), Superhuman informerà immediatamente il Cliente per iscritto, salvo quanto vietato dalla legge applicabile, qualora venga a conoscenza o ritenga che eventuali istruzioni di trattamento da parte del Cliente violino le Leggi europee sulla privacy dei dati e le Leggi sulla privacy dei dati del Regno Unito.

3. Responsabilità del cliente

a. Il Cliente sarà l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati personali del cliente e dei mezzi con cui il Cliente stesso ha acquisito tali Dati personali.

b. Il Cliente dichiara e garantisce che rispetterà i propri obblighi relativi al trattamento dei Dati personali del cliente ai sensi delle Leggi applicabili sulla privacy dei dati, ivi compreso quanto segue: (i) egli ha fornito e continuerà a fornire tutte le comunicazioni e ha ottenuto, e continuerà a ottenere, tutti i consensi, le autorizzazioni e i diritti necessari ai sensi delle leggi applicabili, incluse le Leggi applicabili sulla privacy dei dati, affinché Superhuman possa trattare legalmente i Dati personali del cliente per le finalità contemplate dall'Accordo (compreso il presente Addendum); (ii) ha rispettato tutte le leggi applicabili, incluse le Leggi applicabili sulla privacy dei dati nella raccolta e fornitura a Superhuman di tali Dati personali del cliente; e (iii) garantirà che le sue istruzioni di Trattamento siano conformi alle leggi applicabili (incluse le Leggi applicabili sulla privacy dei dati) e che il trattamento dei Dati personali del cliente da parte di Superhuman in conformità con le istruzioni del Cliente non comporti per Superhuman una violazione delle Leggi applicabili sulla privacy dei dati.

c. Qualora il Cliente ritenga ragionevolmente che Superhuman stia effettuando un Trattamento non autorizzato dei Dati personali del cliente, informerà immediatamente Superhuman di tale convinzione e le Parti collaboreranno in buona fede per porre rimedio alle attività di Trattamento che rappresenterebbero una presunta violazione, se necessario.

4. Responsabilità di Superhuman

a. Superhuman si impegnerà a:

i. Non vendere o condividere i Dati personali del cliente.

ii. Non trattare i Dati personali del cliente per scopi diversi da quelli specifici stabiliti nel presente documento. A scanso di equivoci, Superhuman non tratterà i Dati personali del cliente al di fuori del rapporto commerciale diretto tra il Cliente e Superhuman.

iii. Non combinare i Dati personali del cliente con informazioni ricevute da o per conto di un'altra fonte o raccolte dalle interazioni del Responsabile del trattamento con un Interessato, salvo nella misura in cui tale combinazione sia consentita ai sensi delle Leggi applicabili sulla privacy dei dati.

iv. Per quanto riguarda il trattamento dei Dati personali del cliente, Superhuman rispetta le Leggi applicabili sulla privacy dei dati e, laddove richiesto ai responsabili del trattamento ai sensi della Legge applicabile sulla privacy dei dati, fornisce lo stesso livello di protezione della privacy richiesto al Cliente ai sensi di tale Legge.

v. Informare il Cliente se ritiene di non essere in grado di adempiere ai propri obblighi ai sensi della Legge applicabile sulla privacy dei dati.

5. Diritti dell'interessato e cooperazione

a. Superhuman informerà tempestivamente il Cliente in merito a: (i) qualsiasi richiesta da parte di terzi o individui (ad esempio, per conto del Cliente); o (ii) qualsiasi richiesta governativa o da parte dell'interessato di accesso o informazioni sul Trattamento dei Dati personali del cliente da parte di Superhuman per conto del Cliente stesso (ciascuna una "Comunicazione"), a meno che non sia vietato dalle Leggi applicabili sulla privacy dei dati. Nel caso in cui Superhuman riceva direttamente tale Comunicazione, Superhuman non risponderà a tale Comunicazione, salvo ove opportuno (ad esempio, per suggerire all'interessato di contattare il Cliente) o se richiesto dalla legge, senza la previa autorizzazione del Cliente. Il Cliente sarà responsabile della risposta a tale richiesta, incluso, ove necessario, il ricorso alla funzionalità dei Servizi.

b. Superhuman fornirà assistenza e cooperazione ragionevoli e legalmente richieste per consentire al Cliente di adempiere ai propri obblighi ai sensi delle Leggi applicabili sulla privacy dei dati. Su richiesta scritta del Cliente, ciò include, nella misura in cui quest'ultimo non sia in grado di rispondere alla Comunicazione utilizzando la funzionalità dei Servizi, una ragionevole cooperazione per assisterlo nella risposta alle Comunicazioni tenendo conto della natura del Trattamento.

c. Nella misura richiesta dalle Leggi applicabili sulla privacy dei dati e tenendo conto della natura del Trattamento e delle informazioni a disposizione di Superhuman, Superhuman fornirà ragionevole assistenza al Cliente per effettuare una valutazione dell'impatto sulla protezione dei dati o una consultazione preventiva con le autorità di vigilanza, come richiesto dalle Leggi applicabili sulla privacy dei dati. Superhuman si conformerà a quanto sopra: (i) rispettando la Sezione 10 (Verifiche); (ii) fornendo le informazioni contenute nell'Accordo, compreso il presente Addendum; e (iii) qualora le sottosezioni (i) e (ii) di cui sopra non fossero sufficienti per consentire al Cliente di adempiere a tali obblighi, prestando, su richiesta, ulteriore ragionevole assistenza (a spese del Cliente).

6. Sicurezza dei dati

a. Superhuman: (i) come indicato nell'Allegato B, implementerà misure amministrative, tecniche, fisiche e organizzative, adeguate e ragionevoli, volte a proteggere i Dati personali del cliente da Incidenti di sicurezza e a preservare la sicurezza e la riservatezza dei Dati personali del cliente ("Misure di sicurezza"); e (ii) garantirà che dipendenti, appaltatori e sub-responsabili del trattamento autorizzati a trattare i Dati personali del cliente siano soggetti a un adeguato obbligo di riservatezza (sia esso legale o contrattuale).

b. Il Cliente è responsabile della revisione delle informazioni messe a disposizione da Superhuman relative alla sicurezza dei dati e della valutazione indipendente sulle Misure di sicurezza applicabili al Servizio affinché soddisfino i propri requisiti e obblighi legali previsti dalle Leggi applicabili sulla privacy dei dati. Il Cliente riconosce che le Misure di sicurezza sono soggette a progressi e sviluppi tecnici e che Superhuman può aggiornarle o modificarle di volta in volta, a condizione che tali aggiornamenti e modifiche non compromettano la sicurezza complessiva del Servizio fornito al Cliente.

c. Fermo restando quanto sopra, il Cliente accetta, salvo quanto previsto dal presente Addendum, di essere responsabile dell'utilizzo sicuro del Servizio, compresa la messa in sicurezza delle credenziali di autenticazione dell'account, la protezione della sicurezza dei Dati del cliente durante il transito da e verso il Servizio e l'adozione di tutte le misure appropriate per crittografare o eseguire il backup in modo sicuro di tutti i Dati del cliente caricati sul Servizio.

7. Incidente di sicurezza dei dati

a. Non appena rileva un Incidente di sicurezza dei dati, Superhuman: (i) informerà il Cliente tempestivamente e senza indebito ritardo dopo esserne venuta a conoscenza; (ii) fornirà tempestivamente informazioni relative all'Incidente di sicurezza dei dati non appena diventano note o sono ragionevolmente richieste dal Cliente; e (iii) adotterà tempestivamente misure ragionevoli per contenere e indagare su qualsiasi Incidente di sicurezza dei dati.

b. La notifica o la risposta di Superhuman a un Incidente di sicurezza dei dati ai sensi della presente Sezione 7 non devono essere interpretate come un riconoscimento da parte di Superhuman di qualsiasi colpa o responsabilità in relazione all'Incidente di sicurezza dei dati. Superhuman non ha alcun obbligo di esaminare i Dati del cliente per identificare informazioni che possano essere soggette a specifici requisiti legali.

c. Il Cliente riconosce che (i) gli Incidenti di sicurezza dei dati e gli impegni di Superhuman contenuti nel presente Addendum non si estendono a eventuali integrazioni o servizi di terzi che il Cliente o i suoi Utenti finali ottengono tramite il marketplace di Superhuman e che (ii) il Cliente è l'unico responsabile della revisione della documentazione sulla sicurezza e sulla privacy e degli accordi previsti da tali terze parti.

8. Sub-responsabili del trattamento

a. Il Cliente riconosce e accetta che Superhuman possa incaricare sub-responsabili del trattamento per trattare i Dati personali del cliente in conformità con le disposizioni contenute nel presente Addendum e nelle Leggi applicabili sulla privacy dei dati. Un elenco aggiornato dei sub-responsabili del trattamento di Superhuman è disponibile all'indirizzo https://superhuman.com/legal/subprocessors ("Pagina dei Sub-responsabili del trattamento") e il Cliente autorizza specificamente Superhuman a ricorrere a tali Sub-responsabili. Inoltre, il Cliente acconsente in generale al coinvolgimento da parte di Superhuman di altre terze parti in qualità di Sub-responsabili del trattamento, in conformità con la Sezione 8(c) di seguito riportata.

b. Superhuman dovrà: (i) stipulare un accordo scritto con ciascun Sub-responsabile del trattamento contenente gli obblighi di protezione dei dati che garantiscano almeno lo stesso livello di protezione per i Dati personali del cliente di quelli previsti nel presente Addendum, nella misura applicabile alla natura del servizio fornito da tale Sub-responsabile del trattamento; e (ii) rimarrà responsabile del rispetto degli obblighi del presente Addendum da parte di tale Sub-responsabile e di eventuali atti od omissioni di quest'ultimo che comportino la violazione di Superhuman di uno qualsiasi dei propri obblighi ai sensi del presente Addendum.

c. Superhuman informerà il Cliente se incaricherà altri Sub-responsabili del trattamento almeno 30 giorni prima di tali modifiche, qualora il Cliente scelga di ricevere tali comunicazioni utilizzando il modulo dedicato menzionato nella Pagina dei Sub-responsabili del trattamento. Il Cliente può opporsi per iscritto alla nomina di qualsiasi nuovo Sub-responsabile da parte di Superhuman prima della sua assegnazione per motivi ragionevoli relativi alla protezione dei dati (ad esempio, se la divulgazione di Dati personali del cliente al Sub-responsabile può comportare una violazione delle Leggi applicabili sulla privacy dei dati o un indebolimento delle tutele per tali Dati personali del cliente) e, in tal caso, le parti discuteranno tali preoccupazioni in buona fede al fine di concordare una soluzione commercialmente ragionevole. Qualora non si raggiunga tale soluzione, Superhuman potrà, a propria esclusiva discrezione, non nominare il Sub-responsabile del trattamento oppure consentire al Cliente di interrompere o sospendere il Servizio interessato in conformità con le disposizioni di risoluzione contenute nell'Accordo senza responsabilità di nessuna delle Parti (ma fatte salve le commissioni sostenute dal Cliente prima della sospensione o della risoluzione).

9. Trasferimenti di dati

a. Il Cliente riconosce che Superhuman può trattare i Dati personali del cliente negli Stati Uniti e in qualsiasi altro luogo in cui Superhuman e i propri Sub-responsabili del trattamento gestiscono operazioni di trattamento dei dati al fine di prestare il Servizio. Superhuman non trasferirà (direttamente o tramite trasferimento successivo) i Dati personali del cliente provenienti dall'Europa verso un Paese al di fuori dell'Europa, a meno che non adotti preventivamente misure per consentire che il trasferimento sia conforme alle Leggi europee applicabili sulla privacy dei dati.

b. Superhuman aderisce e certifica la conformità con il Quadro normativo in materia di privacy dei dati come descritto nella Certificazione del Quadro in materia di privacy dei dati di Superhuman, Inc. Laddove e nella misura in cui si applica tale Quadro, esso sarà utilizzato per ricevere legalmente i Dati personali del cliente negli Stati Uniti e Superhuman garantirà di fornire almeno lo stesso livello di protezione di tali dati come richiesto dai Principi del Quadro normativo in materia di privacy dei dati. Superhuman informerà il Cliente qualora ritenga di non essere più in grado di rispettare i propri obblighi previsti dal Quadro normativo in materia di privacy dei dati.

c. Se le Leggi europee sulla privacy dei dati richiedono l'adozione di adeguate tutele (ad esempio, se il Quadro in materia di privacy dei dati non copre il trasferimento o è invalidato), le Clausole contrattuali tipo applicabili saranno incorporate integralmente come riferimento e costituiranno parte integrante del presente Addendum come segue (con gli Allegati e/o le Appendici alle Clausole contrattuali tipo applicabili, come indicato nell'Allegato A del presente Addendum):

i. Nella misura in cui Superhuman tratta i Dati personali del cliente protetti dalle Leggi europee sulla privacy dei dati, accetta di essere vincolata e di trattare tali Dati personali del cliente in conformità con le SCC UE. Ai fini delle descrizioni contenute nelle SCC UE, Superhuman riconosce di essere un "importatore di dati" e il Cliente è l'"esportatore di dati" (fermo restando che il Cliente stesso possa essere un'entità situata in un Paese terzo). Ai fini della Clausola 9 delle SCC UE, sarà concessa un'autorizzazione generale per l'incarico di sub-responsabili del trattamento in conformità con la Sezione 8.c del presente Addendum. Ai fini della Clausola 17 delle SCC UE, la legislazione applicabile sarà la legge dell'Irlanda e, ai fini della Clausola 18, saranno competenti i tribunali dell'Irlanda.

ii. Nella misura in cui Superhuman tratta Dati personali del cliente protetti dalla Legge sulla privacy dei dati del Regno Unito, si applicheranno le SCC del Regno Unito.

iii. Nella misura in cui Superhuman tratta Dati personali del cliente protetti dal DPA svizzero, si applicheranno le SCC UE, con le seguenti modifiche:

A. ogni riferimento contenuto nelle SCC UE alla "Direttiva 95/46/CE" o al "Regolamento (UE) 2016/679" deve essere interpretato come riferimento al DPA svizzero;
B. i riferimenti a "UE", "Unione", "Stato membro" e "diritto degli Stati membri" devono essere interpretati, a seconda dei casi, come riferimenti alla Svizzera e alla legislazione svizzera; e
C. i riferimenti alle "autorità di vigilanza competenti" e ai "tribunali competenti" devono essere interpretati come riferimenti a FDIPC e ai tribunali competenti in Svizzera.

iv. In caso di conflitto tra le SCC dell'Unione europea o del Regno Unito e il presente Addendum, prevarranno le SCC dell'Unione europea o del Regno Unito (ove applicabili).

10. Verifiche

a. Su richiesta del Cliente, Superhuman metterà a disposizione del Cliente le informazioni ragionevolmente necessarie per dimostrare la conformità al presente Addendum. Il Cliente riconosce e accetta di esercitare i propri diritti di verifica ai sensi del presente Addendum (compresa la presente Sezione 10(a) e, ove applicabile, le Clausole contrattuali tipo) e qualsiasi diritto di verifica concesso ai sensi delle Leggi applicabili sulla privacy dei dati, richiedendo a Superhuman di conformarsi alle misure di verifica descritte nella Sezione 10(b) di seguito.

b. Su richiesta scritta, Superhuman fornirà (in via riservata) al Cliente una copia riassuntiva dei rapporti di verifica più recenti ("Rapporto di verifica") stilati da professionisti della sicurezza di terze parti a scelta e a spese di Superhuman.

11. Restituzione o distruzione dei Dati personali del cliente

a. Alla risoluzione o alla scadenza dell'Accordo, su richiesta scritta del Cliente, Superhuman renderà disponibili per la restituzione al Cliente e/o distruggerà in modo sicuro tutti i Dati personali del cliente in proprio possesso o controllo in conformità con l'Accordo, salvo che tale requisito non si applichi nella misura in cui Superhuman sia tenuta dalla legge applicabile a conservare alcuni o tutti i Dati personali del cliente, o ai Dati personali del cliente archiviati su sistemi di backup, dati che Superhuman isolerà e proteggerà in modo sicuro da qualsiasi ulteriore Trattamento e cancellerà in conformità con le proprie procedure di cancellazione.

12. Dati resi non identificabili dei residenti negli Stati Uniti

a. Le Parti riconoscono che i dati che sono stati resi "non identificabili" o "anonimizzati" in conformità con le Leggi statunitensi sulla privacy dei dati ("Dati resi non identificabili") non sono Dati personali.

b. Salvo quanto diversamente consentito dalle Leggi applicabili sulla privacy dei dati, Superhuman può rendere anonimi i Dati personali del cliente e trattare i Dati resi non identificabili solo se:

i. Adotta misure ragionevoli per garantire che i Dati resi non identificabili non possano essere associati a un individuo;
ii. Si impegna pubblicamente a mantenere e utilizzare i Dati resi non identificabili esclusivamente in modo anonimizzato e a non cercare di rendere nuovamente identificabili tali Dati; e
iii. Obbliga contrattualmente qualsiasi destinatario dei Dati resi non identificabili a rispettare requisiti sostanzialmente simili a quelli stabiliti nella presente Sezione 12 (Dati resi non identificabili) dell'Addendum.

13. Limitazione di responsabilità

a. La responsabilità di Superhuman derivante da o in relazione al presente Addendum è soggetta alle limitazioni e alle esclusioni di responsabilità stabilite nell'Accordo.

14. Durata

a. La data di entrata in vigore del presente Addendum è la data dell'ultima firma di una Parte o, in mancanza di tale data, la data di entrata in vigore dell'Accordo.

15. Sopravvivenza

a. Le disposizioni del presente Addendum sopravvivranno alla risoluzione o alla scadenza dell'Accordo per tutto il tempo in cui Superhuman o i suoi Sub-responsabili del trattamento tratteranno i Dati personali del cliente.

Allegato A: Descrizione del trattamento dei dati

1. Elenco delle parti:

Esportatore/i di dati:
Nome: l'entità identificata come "Cliente" nell'Addendum.
Indirizzo: l'indirizzo del Cliente specificato nell'Addendum o nell'Accordo.
Dati di contatto: i dati di contatto associati all'account del Cliente o come altrimenti specificato nell'Addendum o nell'Accordo.
Attività rilevanti per i dati trasferiti: vedere la sezione 2 di seguito.
Ruolo: quando il Cliente agisce in qualità di titolare, il Titolare del trattamento. Quando il Cliente agisce in qualità di responsabile, il Responsabile del trattamento.

Importatore/i di dati:
Nome: "Superhuman" come identificato nell'Addendum.
Indirizzo: l'indirizzo di Superhuman come specificato nell'Accordo.
Dati di contatto: i dati di contatto di Superhuman come specificati nell'Addendum o nell'Accordo.
Attività rilevanti per i dati trasferiti: vedere la sezione 2 di seguito.
Ruolo: il responsabile del trattamento

2. Descrizione del trattamento

a. Oggetto, natura e finalità del trattamento: Superhuman tratterà i Dati personali del cliente esclusivamente per le finalità indicate nella Sezione 2(c) del presente Addendum.

b. Durata prevista del trattamento: per la durata dell'Accordo a cui si aggiunge il periodo compreso tra la scadenza o la risoluzione dell'Accordo e la cancellazione di tutti i Dati personali del cliente da parte di Superhuman in conformità con l'Accordo.

c. Categorie tipiche di soggetti interessati: i soggetti interessati includono le persone fisiche i cui dati sono forniti a Superhuman tramite il Servizio, da (o su indicazione del) Cliente o dei suoi Utenti.

d. Categorie di Dati personali del cliente tipicamente soggetti al Trattamento ai sensi dell'Accordo: le categorie di Dati personali del cliente sono determinate dal Cliente a sua esclusiva discrezione e includono i dati relativi alle persone fisiche forniti a Superhuman tramite il Servizio, da (o su indicazione del) Cliente o dei suoi Utenti.

e. Categorie speciali di Dati personali: Superhuman non raccoglie intenzionalmente né tratta alcuna categoria speciale di Dati personali.

Allegato B: Misure tecniche e organizzative, comprese le misure tecniche e organizzative per garantire la sicurezza dei dati

I Servizi forniti ai sensi del presente Addendum comprendono molteplici offerte di prodotti distinti, tra cui, a titolo esemplificativo, Grammarly, Superhuman Mail e Coda (collettivamente, i "Servizi"). Ciascun Servizio mantiene e implementa misure di sicurezza tecniche e organizzative adeguate alla propria progettazione e funzionalità per la protezione dei Dati personali del cliente e per la prevenzione, il rilevamento e la mitigazione degli Incidenti di sicurezza dei dati. Alla luce delle diverse architetture e dei requisiti operativi dei rispettivi Servizi, le Misure di sicurezza applicabili a ciascun Servizio sono descritte separatamente di seguito. Per chiarezza, le misure di sicurezza tecniche e organizzative qui illustrate sono specifiche per il Servizio in questione e non devono essere interpretate come applicabili a nessun altro Servizio. Tali Misure di sicurezza si applicheranno esclusivamente nella misura in cui il Cliente abbia acquistato il Servizio pertinente, come identificato nel rispettivo documento d'ordine o nella pagina di pagamento dell'acquisto online accettato dal Cliente.

Misure di sicurezza applicabili alle offerte di Grammarly:

Grammarly applica rigorose procedure amministrative, contrattuali e tecniche per proteggere le informazioni trasferite da, verso e archiviate sui suoi server per la fornitura dei propri servizi.

Tutta l'infrastruttura lato server di Grammarly è ospitata su Amazon Web Services (AWS) negli Stati Uniti. I server e la rete di Grammarly riducono al minimo la superficie di attacco, collocando tutti i sistemi della nostra rete privata all'interno della nostra piattaforma cloud sicura ed esponendo i servizi esterni solo tramite bilanciatori di carico e un firewall per applicazioni web. Grammarly è registrata per AWS Enterprise Support, il massimo livello possibile di supporto AWS.

Grammarly cripta tutti i trasferimenti di dati tra sé e gli esportatori di dati mediante protocolli di crittografia aggiornati, incluso almeno TLS 1.2. I dati dei clienti vengono crittografati a riposo utilizzando AES-256. Grammarly utilizza AWS Key Management Services per la crittografia del database e la gestione delle chiavi. L'accesso alle chiavi crittografiche è riservato al personale autorizzato. I servizi interni di Grammarly sono disponibili tramite la propria rete privata virtuale, ad eccezione dei servizi che devono avere accesso a Internet pubblico per la fornitura dei prodotti Grammarly ai clienti.

L'accesso all'archivio dei Dati personali avviene secondo il principio del privilegio minimo; è richiesta l'autenticazione a più fattori. La sicurezza monitora costantemente l'accesso a tutte le informazioni e definisce chiari confini di sicurezza tra produzione, preparazione, sviluppo e così via.

I team di conformità di Grammarly definiscono e controllano la raccolta, il trattamento e la conservazione dei Dati personali dei clienti. A tal fine, Grammarly utilizza mappe di flusso dati, inventari dei servizi, liste di controllo per il lancio di nuovi servizi e altri processi per tenere traccia di tutti i trasferimenti di dati interni ed esterni. Grammarly verifica tutte le modifiche al codice tramite revisioni e controlli automatici ed esegue test annuali di penetrazione della sicurezza con un'azienda esterna. Tutti i laptop, server e container sono configurati per l'aggiornamento alle versioni più recenti non appena disponibili.

Informazioni dettagliate sulle misure tecniche e organizzative adottate da Grammarly per garantire la sicurezza dei dati sono specificate nelle pagine di certificazione di livello aziendale e conformità normativa disponibili all'indirizzo https://www.grammarly.com/security e all'indirizzo https://www.grammarly.com/trust.

Misure di sicurezza applicabili alle offerte di Superhuman Mail:

Il programma di sicurezza delle informazioni di Superhuman Mail comprende tutele amministrative, tecniche e fisiche volte a proteggere le Informazioni personali che gestiamo da minacce o rischi attesi per la sicurezza, la riservatezza o l'integrità delle stesse (quali accesso, raccolta, utilizzo, copia, modifica, eliminazione o divulgazione non autorizzati, perdita, distruzione, acquisizione, danneggiamento non autorizzati, illeciti o accidentali, o qualsiasi altra forma non autorizzata di trattamento).

Il programma di sicurezza di Superhuman si basa sui seguenti principi chiave di sicurezza:
  • Principio del privilegio minimo: ai servizi e agli utenti viene concessa la serie minima di autorizzazioni necessarie per svolgere il proprio lavoro.
  • Crittografia a riposo e in transito: tutti i dati vengono crittografati a riposo e in transito e i dati particolarmente sensibili sono crittografati anche a livello di applicazione.
  • Superficie di attacco ridotta al minimo: non esponiamo server interni a Internet, utilizziamo container "distroless" e ci affidiamo completamente all'infrastruttura gestita da Google.
  • Aggiornamenti automatici: laptop, server e container sono configurati per aggiornarsi automaticamente alle versioni più recenti non appena disponibili.
  • Chiari confini di sicurezza: le operazioni di produzione, preparazione, sviluppo, ecc. sono tutte separate e per superare un confine di sicurezza è necessario autenticarsi utilizzando il sistema Identity and Access Management (IAM) di Google. Tutte le autenticazioni richiedono due fattori.
  • Verifica delle ipotesi: tutto il codice aggiunto a Superhuman viene esaminato dal punto di vista della sicurezza ed eseguiamo controlli annuali di sicurezza con un'azienda esterna per identificare eventuali errori.

Di seguito sono riportati alcuni esempi illustrativi delle misure di sicurezza in atto:

1. Misure per la crittografia dei dati personali
  • Superhuman è ospitato interamente su Google Cloud. Utilizziamo la sicurezza dell'infrastruttura esistente per crittografare i dati a riposo e, ove opportuno, un ulteriore strato di crittografia a livello di applicazione per ridurre il rischio di esposizione dei dati.
  • Superhuman cripta tutto il traffico di rete attraverso Internet pubblico utilizzando almeno TLS 1.2 e si avvale di Google Cloud ATLS per proteggere il traffico all'interno del nostro ambiente.

2. Misure per proteggere la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento
  • Superhuman mantiene aggiornati tutti i propri sistemi e servizi, utilizzando meccanismi automatizzati ove possibile o rispondendo ad allarmi proattivi. Facciamo affidamento in modo significativo su un'infrastruttura immutabile che viene regolarmente ricreata in uno stato ottimale noto.
  • Le autorizzazioni vengono assegnate utilizzando il principio del privilegio minimo: ogni dipendente ha accesso solo alle parti necessarie dell'infrastruttura richieste per svolgere il proprio ruolo.
  • Superhuman prevede in modo proattivo come cambieranno i nostri modelli di utilizzo ed effettua consistenti investimenti per garantire che i nostri sistemi siano resilienti al carico previsto. Tutte le modifiche apportate ai sistemi sono approvate da un ingegnere indipendente e testate prima di essere implementate in produzione.

3. Misure per il ripristino tempestivo della disponibilità e dell'accesso alle Informazioni personali in caso di incidente fisico o tecnico
  • Superhuman monitora costantemente la disponibilità dei propri sistemi e dispone di una copertura 24 ore su 24, 7 giorni su 7 in caso di incidenti che influiscono sulla disponibilità del servizio.
  • I servizi principali di Superhuman sono distribuiti su più zone per ridurre la probabilità che un evento catastrofico abbia un impatto sulla nostra disponibilità.
  • Superhuman effettua il backup di tutti i dati e tali backup sono distribuiti in più regioni, in modo che se il nostro ambiente di produzione live dovesse risultare completamente indisponibile, saremmo comunque in grado di ripristinare l'accesso ai dati.

4. Processi per testare, stimare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
  • Superhuman effettua verifiche di sicurezza annuali utilizzando un'azienda terza per identificare le aree di rischio informatico.
  • Superhuman conduce un processo annuale di verifica SOC 2 per valutare l'efficacia dei nostri controlli.
  • Superhuman esegue simulazioni trimestrali di interruzioni, incluso il ripristino dei backup di produzione.

5. Misure per l'identificazione e l'autorizzazione degli utenti
  • Tutta l'identificazione degli utenti viene delegata al provider di posta elettronica dell'utente (Google o Microsoft) e noi ci affidiamo in modo significativo a OAuth2 per l'autorizzazione.
  • I dipendenti di Superhuman sono tenuti a utilizzare l'autenticazione a più fattori.
  • Tutti gli eventi di accesso vengono registrati in un sistema di registrazione indipendente.

6. Misure per la sicurezza fisica dei luoghi in cui vengono trattate le Informazioni personali
  • Superhuman tratta le Informazioni personali all'interno di Google Cloud, che garantisce la sicurezza fisica come descritto nella documentazione di Google: https://cloud.google.com/security
7. Misure per garantire la configurazione del sistema, compresa quella predefinita
  • Superhuman utilizza Google Cloud Kubernetes Engine per applicare una configurazione coerente su tutte le macchine di produzione.
  • Superhuman utilizza Google Cloud Security Scanner per identificare eventuali modifiche non sicure alla configurazione delle nostre risorse Google Cloud.
  • Superhuman utilizza MDM per applicare una configurazione di sistema sicura per tutti i laptop di proprietà aziendale.

8. Misure per la governance e la gestione interna dell'IT e della sicurezza IT
  • L'infrastruttura di Superhuman è coperta dalla certificazione ISO 27001 e dalle certificazioni SOC 2 di Google, poiché è interamente ospitata su Google Cloud.
  • Superhuman dispone di una politica scritta sulla sicurezza delle informazioni, corredata da documentazione di supporto.
  • Altre politiche di sicurezza scritte adottate da Superhuman includono le seguenti:
    • Livelli di accesso ai dati
    • Ripristino di emergenza e continuità aziendale
    • Politica di gestione dell'infrastruttura
    • Registri delle attività di trattamento
    • Politica di gestione del rischio
    • Politica di conservazione dei dati

9. Misure per garantire la responsabilità
  • Superhuman richiede a tutti i dipendenti di segnalare qualsiasi potenziale violazione delle politiche e di sottoporla all'attenzione di un manager o di utilizzare il nostro modulo di reclamo anonimo.

Misure di sicurezza applicabili alle offerte di Coda:

Si prega di consultare le informazioni disponibili su questo sito (soggette di tanto in tanto ad aggiornamenti): https://coda.io/trust/securityannex