Legale

Accordo sul trattamento dei dati

Ultimo aggiornamento: 20 maggio 2026 CallMama Limited · Hong Kong · N. CR 77766807

Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte dei Termini di servizio tra CallMama Limited ("CallMama", "Responsabile del trattamento") e il cliente aziendale che lo accetta ("Cliente", "Responsabile del trattamento"). Si applica laddove CallMama tratta dati personali per conto del cliente, in pratica quando un cliente aziendale utilizza il portale web CallMama per instradare, archiviare o registrare comunicazioni con i propri chiamanti e contatti.

Per l'uso ordinario da parte dei consumatori di CallMama, CallMama è il controller e questo DPA non si applica - vedere il politica sulla riservatezza. Questo DPA si applica solo ai clienti aziendali che elaborano i dati dei propri utenti finali tramite CallMama.

1. Ruoli

Per i dati personali che il Cliente elabora tramite il Servizio relativi ai propri chiamanti e contatti ("Dati personali del Cliente"), il Cliente è il titolare del trattamento e CallMama è il responsabile del trattamento. CallMama elabora i dati personali del cliente solo in base alle istruzioni documentate del cliente, che includono i Termini di servizio, il presente DPA e l'utilizzo da parte del cliente delle funzionalità del servizio.

2. Oggetto e modalità del trattamento

ArticoloDettaglio
OggettoFornitura del servizio di chiamata, messaggistica, numero, instradamento e registrazione (portale Web) CallMama
DurataLa durata dei Termini di servizio
Natura e scopoFornire i Servizi al Cliente e ai suoi utenti finali, inclusi hosting, trasmissione, instradamento, archiviazione e (laddove il Cliente lo consenta) registrazione delle comunicazioni del Cliente; e per mantenere la sicurezza e l'integrità del Servizio
Tipi di dati personaliNumeri di contatto, nomi, metadati e contenuti di chiamate e messaggi, messaggi vocali, registrazioni di chiamate e altri dati che il Cliente sceglie di elaborare
Categorie di interessatiI chiamanti, i contatti, i clienti e il personale del Cliente

Periodi di conservazione: I registri dei dettagli delle chiamate vengono conservati per i periodi richiesti dalle leggi fiscali e in materia di telecomunicazioni applicabili (in genere da 90 giorni a 12 mesi a seconda della giurisdizione). Tutti gli altri dati personali del cliente vengono conservati fino a quando il cliente non richiede la cancellazione, il DPA termina o il periodo di conservazione applicabile scade, a seconda di quale evento si verifica per primo.

3. Obblighi di CallMama

  • Trattare i dati personali del cliente solo seguendo le istruzioni documentate del cliente, salvo diversamente richiesto dalla legge (nel qual caso CallMama informerà il cliente a meno che la legge non lo vieti).
  • Garantire che le persone autorizzate al trattamento dei dati siano vincolate alla riservatezza.
  • Implementare misure di sicurezza tecniche e organizzative adeguate (allegato sotto).
  • Assistere il cliente, tenendo conto della natura del trattamento, con le richieste degli interessati, la sicurezza, la notifica di violazioni e le valutazioni dell'impatto sulla protezione dei dati.
  • Entro 30 giorni dalla risoluzione dei Termini di servizio o da una richiesta scritta, eliminare o restituire tutti i Dati personali del Cliente e confermare l'eliminazione per iscritto, salvo nella misura in cui la legge applicabile richieda la conservazione continua, nel qual caso CallMama informerà il Cliente della base giuridica e della data di eliminazione prevista.
  • Rendere disponibili le informazioni necessarie per dimostrare la conformità al presente DPA e consentire audit e ispezioni da parte del Cliente o del suo revisore autorizzato, soggetto a: (i) preavviso scritto di 60 giorni lavorativi; (ii) condotta durante l'orario lavorativo senza indebite interruzioni; (iii) revisore vincolato al segreto; (iv) Il Cliente sostiene i costi a meno che la verifica non riveli una violazione sostanziale. CallMama può fornire un rapporto ISO 27001 o SOC 2 invece di un audit diretto.
  • Registrazioni del trattamento: CallMama conserva i registri di tutte le categorie di trattamento effettuate per conto del Cliente ai sensi dell'Articolo 30(2) del GDPR, disponibili su richiesta scritta.
  • Assistenza DPIA: Laddove la registrazione delle chiamate o altro trattamento richieda una DPIA ai sensi dell'articolo 35 del GDPR, CallMama fornirà un'assistenza ragionevole, comprese informazioni su misure di sicurezza, sub-responsabili del trattamento e attività di trattamento.

4. Obblighi del Cliente

  • Il Cliente è responsabile della base giuridica del trattamento e della liceità delle sue istruzioni.
  • Se il Cliente utilizza la funzionalità di registrazione delle chiamate del portale web, il Cliente dovrà dare ai chiamanti le comunicazioni e ottenere i consensi richiesti dalla legge — vedi la Avviso di registrazione delle chiamate.
  • Il Cliente non deve inviare CallMama dati di categoria speciale o dati sensibili oltre a quelli che il Servizio è progettato per gestire.

5. Subresponsabili del trattamento

Il Cliente concede a CallMama un'autorizzazione generale scritta a coinvolgere sub-responsabili del trattamento, inclusi quelli elencati nella Elenco dei sub-responsabili del trattamento pubblicato su CallMama.com. CallMama impone obblighi di protezione dei dati a ciascun sub-responsabile del trattamento equivalenti a quelli imposti a CallMama da questo DPA, compresi obblighi di riservatezza. CallMama rimane responsabile delle prestazioni dei suoi sub-processori. CallMama avviserà il Cliente almeno 14 giorni prima di aggiungere o sostituire un sottoresponsabile del trattamento. Il Cliente può opporsi alla nomina di un sub-responsabile nuovo o sostitutivo per motivi ragionevoli e documentati di protezione dei dati mediante notifica scritta a CallMama entro 14 giorni dal ricevimento della notifica. Se le parti non riescono a risolvere la controversia, il Cliente può recedere dalla parte interessata del Servizio previa comunicazione scritta. L'uso continuato del Servizio dopo il periodo di opposizione di 14 giorni costituisce l'accettazione del nuovo sub-responsabile.

6. Trasferimenti internazionali

Laddove i dati personali del cliente vengano trasferiti dal SEE o dal Regno Unito a un paese senza una decisione di adeguatezza, il trasferimento è regolato dalle SCC dell'UE (decisione di esecuzione 2021/914 della Commissione), dal Modulo 2 (da titolare a responsabile del trattamento) per i trasferimenti nel SEE e dall'IDTA 2022 del Regno Unito per i trasferimenti nel Regno Unito. Entrambi sono incorporati come riferimento e completati con i dettagli nella Sezione 2. CallMama ha condotto valutazioni dell'impatto del trasferimento per tutti i sub-responsabili del trattamento di paesi terzi.

7. Violazione dei dati personali

CallMama avviserà il Cliente senza indebito ritardo e, ove possibile, entro e non oltre 24 ore dal momento in cui è venuto a conoscenza di una violazione dei dati personali che interessa i dati personali del Cliente. Tale tempistica ha lo scopo di consentire al Cliente di valutare la violazione e, ove richiesto, di informare l'autorità di controllo competente entro il periodo di 72 ore richiesto dall'Articolo 33 del GDPR e dall'Articolo 33 del GDPR del Regno Unito. La notifica includerà, per quanto noto al momento: (a) una descrizione della natura della violazione, comprese le categorie e il numero approssimativo di interessati e record interessati; (b) le probabili conseguenze della violazione; e (c) le misure adottate o proposte per affrontare la violazione. Laddove le informazioni non siano immediatamente disponibili, CallMama le fornirà gradualmente senza ulteriori indebiti ritardi.

8. Responsabilità e durata

Il presente DPA integra ed è soggetto ai Termini di servizio. In caso di conflitto tra il presente DPA e i Termini di servizio su qualsiasi questione relativa al trattamento dei dati personali, prevale il presente DPA. Il presente DPA è regolato dalle leggi della Regione amministrativa speciale di Hong Kong. Tuttavia, per le controversie derivanti dalle clausole contrattuali tipo dell'UE, la legge applicabile e i tribunali applicabili sono quelli specificati nelle clausole contrattuali tipo (clausola 17 e clausola 18 della decisione di esecuzione 2021/914 della Commissione). Il presente DPA entra in vigore quando il Cliente accetta i Termini di servizio (o, per i clienti che richiedono un DPA controfirmato, alla data dell'ultima firma di entrambe le parti) e continua finché CallMama elabora i dati personali del cliente.

Allegato — Misure di sicurezza

CallMama implementa le seguenti misure tecniche e organizzative, come richiesto dall'Articolo 32 del GDPR e come ulteriormente dettagliato nell'Allegato II delle SCC dell'UE:

A. Crittografia e dati in transito

  • Crittografia in transito: tutti i dati personali trasmessi tra il Servizio e i dispositivi degli utenti finali vengono crittografati utilizzando TLS 1.2 o versione successiva. È vietata la trasmissione non crittografata di dati personali.
  • Crittografia a riposo: i dati personali sensibili (comprese le registrazioni delle chiamate e i messaggi vocali) vengono crittografati quando sono inattivi utilizzando AES-256 o equivalente. Tutti i supporti di backup sono crittografati.

B. Controlli di accesso e autenticazione

  • Autenticazione a più fattori: richiesto per tutto il personale che accede ai sistemi contenenti i dati personali del cliente, compreso l'accesso remoto.
  • Controllo degli accessi basato sui ruoli: l'accesso ai Dati Personali del Cliente è limitato al personale il cui ruolo lo richiede. I diritti di accesso vengono riesaminati trimestralmente e revocati immediatamente in caso di cessazione o cambio di ruolo.
  • Account utente unici: ogni membro dello staff ha un identificatore univoco. Gli account condivisi sono vietati. Requisiti di complessità della password applicati.
  • Gestione della sessione: le sessioni inattive scadono automaticamente. Il numero massimo di tentativi di accesso non riusciti attiva il blocco dell'account.

C. Monitoraggio, registrazione e risposta agli incidenti

  • Monitoraggio della sicurezza: i sistemi sono monitorati continuamente per eventi di sicurezza. Vengono implementati sistemi di rilevamento e prevenzione delle intrusioni.
  • Registrazione di controllo: tutti gli accessi e le modifiche ai dati personali del cliente vengono registrati. I registri vengono conservati per un minimo di 12 mesi e sono a prova di manomissione.
  • Risposta all'incidente: un piano di risposta agli incidenti documentato viene mantenuto e testato almeno una volta all'anno. Gli incidenti sono classificati, contenuti e segnalati in conformità con questo DPA.

D. Sicurezza fisica e infrastrutturale

  • Sicurezza del data center: I dati personali dei clienti sono ospitati in data center certificati ISO 27001 (Hetzner) con controlli di accesso fisico, CCTV, controlli ambientali e gruppo di continuità.
  • Backup e ripristino: vengono eseguiti backup regolari e archiviati in modo sicuro. Le procedure di ripristino di emergenza sono documentate e testate. Gli obiettivi relativi ai tempi di recupero sono definiti e rivisti.

E. Controlli sul personale e sui fornitori

  • Riservatezza del personale: tutto il personale e gli appaltatori che hanno accesso ai dati personali del cliente sono vincolati da obblighi contrattuali di riservatezza. I controlli dei precedenti vengono condotti ove consentito dalla legge applicabile.
  • Formazione sulla sicurezza: tutto il personale con accesso ai dati personali riceve una formazione sulla protezione dei dati e sulla sensibilizzazione alla sicurezza in occasione del coinvolgimento e su base annuale.
  • Due diligence del fornitore: tutti i subresponsabili del trattamento vengono valutati in termini di protezione dei dati e conformità alla sicurezza prima dell'incarico e monitorati su base continuativa.

F. Sviluppo e gestione del cambiamento

  • Sviluppo sicuro: la sicurezza è incorporata nel ciclo di vita dello sviluppo del software. Le revisioni del codice includono la valutazione della sicurezza. Sono in atto procedure di gestione delle vulnerabilità e di gestione delle patch.
  • Test di penetrazione: almeno una volta all'anno vengono condotti test di penetrazione indipendenti. Le vulnerabilità critiche vengono risolte entro 30 giorni.
  • Minimizzazione dei dati: i sistemi sono progettati per ridurre al minimo i dati personali trattati. Laddove appropriato, viene utilizzata la pseudonimizzazione.

Come eseguire questo DPA

Un cliente aziendale che necessita di un DPA firmato deve contattare legal@CallMama.com. L'accettazione dei Termini di Servizio da parte di un Cliente aziendale che tratta i dati dei propri utenti finali attraverso il Servizio costituisce anche accettazione del presente DPA.

9. Disposizioni aggiuntive per giurisdizioni specifiche

Stati Uniti: CCPA/CPRA

Laddove i dati personali del cliente includono informazioni personali di residenti in California, CallMama è un "fornitore di servizi" ai sensi del CCPA/CPRA, non una "terza parte". CallMama non venderà né condividerà i dati personali del cliente, non li conserverà, li utilizzerà o li divulgherà al di fuori del rapporto commerciale diretto e certifica la conformità alle restrizioni CCPA/CPRA. I sub-responsabili del trattamento che gestiscono le informazioni personali della California sono vincolati da restrizioni equivalenti per i fornitori di servizi.

Canada – PIPEDA e Legge del Quebec 25

Laddove i dati personali del cliente includono informazioni personali di residenti canadesi:

  • PIPEDA: La legge canadese sulla protezione delle informazioni personali e sui documenti elettronici (PIPEDA) richiede a CallMama di implementare misure di sicurezza coerenti con il principio 7 (salvaguardie). Il Cliente rimane responsabile dell'ottenimento di un consenso significativo e della risposta alle richieste di accesso e correzione.
  • Legge 25 del Quebec: Per i residenti del Quebec, la legge 25 (in vigore da settembre 2023) impone un obbligo di notifica di violazione entro 72 ore alla Commission d'accès à l'information (CAI). CallMama avviserà il Cliente entro 24 ore dalla consapevolezza di una violazione che interessa i dati dei residenti del Quebec.

Questa pagina fa parte della documentazione di conformità di CallMama. Vedi anche il nostro politica sulla riservatezza, Termini di servizio, E opzioni di contatto.

Riprendi dove vuoi
lasciato fuori.

Un tocco per installare. Ancora uno da chiamare. È davvero così semplice.

Miglioramenti