Oracle Sezione legale

La privacy in Oracle
Informativa sulla privacy per i Servizi di Oracle

La presente Informativa sulla privacy per i Servizi di Oracle ("Informativa sulla privacy per i Servizi") è organizzata in tre sezioni:

I. La prima sezione (Termini di trattamento delle Informazioni personali correlate alla prestazione dei Servizi) descrive le pratiche in materia di privacy e sicurezza adottate da Oracle Corporation e dalle sue affiliate (“Oracle”) per il trattamento delle Informazioni personali correlate alla prestazione dei Servizi (come definito di seguito) al fine di fornire servizi di consulenza, supporto tecnico, cloud e di altro tipo (i "Servizi") ai clienti di Oracle ("Voi") durante il periodo di validità dei Servizi ordinati.

Le Informazioni personali correlate alla prestazione dei Servizi sono informazioni personali che vengono fornite da Voi, risiedono su sistemi e ambienti di Oracle, di clienti o di terze parti, e vengono trattate da Oracle per Vostro conto allo scopo di erogare i Servizi. Le Informazioni personali correlate alla prestazione dei Servizi possono includere, a seconda dei Servizi: informazioni riguardanti la famiglia, lo stile di vita e le circostanze sociali, dati sul rapporto di lavoro, dati finanziari, identificatori online quali gli ID e gli indirizzi IP dei dispositivi mobili e dati sul comportamento e gli interessi online di prime parti. Le Informazioni personali correlate alla prestazione dei Servizi possono riguardare Vostri referenti e utenti finali, quali ad esempio dipendenti, candidati a posizioni di lavoro, consulenti, collaboratori, partner, fornitori e clienti.

II. La seconda sezione (Termini del trattamento dei Dati operativi dei sistemi) descrive le pratiche in materia di privacy e sicurezza applicabili alle informazioni personali che possono essere casualmente contenute nei Dati operativi dei sistemi generati a seguito dell'interazione degli utenti finali dei Servizi ("Utenti") con i sistemi e le reti Oracle utilizzati per monitorare, proteggere e fornire i Servizi alla nostra base di clienti.

I Dati operativi dei sistemi possono includere file di registro, file di eventi e altri file di traccia e diagnostica, nonché informazioni statistiche e aggregate che sono correlate all'utilizzo dei nostri Servizi, nonché dei sistemi e delle reti su cui tali Servizi vengono eseguiti.

III. La terza sezione (Comunicazioni e notifiche a clienti e utenti) si applica alle Informazioni personali correlate alla prestazione dei Servizi e alle informazioni personali contenute nei Dati operativi dei sistemi, descrive in che modo Oracle gestisce le richieste di divulgazione previste dalla legge e informa Voi e gli Utenti in merito alla modalità di comunicazione con il Responsabile globale della protezione dei dati (Data Protection Officer) di Oracle o alla presentazione di un reclamo.

Le definizioni delle Informazioni personali correlate alla prestazione dei Servizi e dei Dati operativi dei sistemi non includono le informazioni di contatto Vostre o degli Utenti e informazioni correlate raccolte dai siti Web Oracle o le interazioni Vostre o degli Utenti con Oracle durante il processo di stipula dei contratti. Il trattamento di queste informazioni da parte di Oracle è soggetto ai termini dell'Informativa sulla privacy generale di Oracle.

I. TERMINI DI TRATTAMENTO DELLE INFORMAZIONI PERSONALI CORRELATE ALLA PRESTAZIONE DEI SERVIZI

Oracle tratta tutte le Informazioni personali correlate alla prestazione dei Servizi in conformità ai termini delle Sezioni I e III della presente Informativa e al Vostro ordine di Servizi.

Nell'eventualità di un conflitto tra i termini della presente Informativa sulla privacy per i Servizi ed eventuali termini sulla privacy inclusi nel Vostro ordine di Servizi, incluso un accordo per il trattamento dei dati di Oracle, prevarranno i termini sulla privacy pertinenti contenuti nel Vostro ordine di Servizi.

1. Prestazione dei Servizi

Oracle può trattare le Informazioni personali correlate alla prestazione dei Servizi per le attività di trattamento necessarie per erogare i Servizi, tra cui le attività di test e applicazione di nuove versioni di prodotto o sistema, patch, aggiornamenti software e hardware nonché la risoluzione di bug e di altri problemi segnalati dall'utente a Oracle.

2. Istruzioni del cliente

Voi siete il titolare del trattamento delle Informazioni personali correlate alla prestazione dei Servizi trattate da Oracle per la fornitura dei Servizi. Oracle tratterà le Informazioni personali correlate alla prestazione dei Servizi come specificato nel Vostro ordine di Servizi e in ulteriori istruzioni, scritte e documentate, da Voi fornite, nella misura necessaria affinché Oracle possa (i) ottemperare ai propri obblighi di responsabile del trattamento ai sensi della legge sulla protezione dei dati applicabile o (ii) fornirVi assistenza affinché possiate ottemperare ai Vostri obblighi di titolare del trattamento ai sensi della legge sulla protezione dei dati applicabile in relazione all'utilizzo dei Servizi da parte Vostra. Oracle Vi informerà tempestivamente qualora, a sua ragionevole discrezione, ritenga che le Vostre istruzioni violino la legge sulla protezione dei dati applicabile. Possono applicarsi oneri aggiuntivi.

3. Diritti degli interessati

Voi controllate l'accesso alle Informazioni personali correlate alla prestazione dei Servizi da parte Vostra e dei Vostri utenti finali, i quali devono rivolgere a Voi qualsiasi richiesta in relazione alle proprie Informazioni personali correlate alla prestazione dei Servizi. Nella misura in cui tale accesso non Vi sia disponibile, Oracle fornirà ragionevole assistenza in merito alle richieste di accesso, eliminazione o cancellazione, limitazione, rettifica, ricezione e trasmissione, blocca all'accesso o opposizione al trattamento delle Informazioni personali correlate alla prestazione dei Servizi sui sistemi Oracle.

4. Sicurezza e riservatezza

Oracle ha implementato e manterrà misure tecniche e organizzative appropriate al fine di impedire la distruzione accidentale o illegale, la perdita, la modifica, la divulgazione o l'accesso non autorizzato alle Informazioni personali correlate alla prestazione dei Servizi. Tali misure, che sono generalmente conformi alla norma ISO/IEC 27001:2013, disciplinano tutti gli aspetti di sicurezza attinenti ai Servizi, incluso l'accesso fisico, l'accesso ai sistemi, l'accesso, la trasmissione e l'immissione di dati nonché la relativa supervisione e applicazione delle politiche di sicurezza.

I dipendenti Oracle sono tenuti a mantenere la riservatezza delle informazioni personali. Gli obblighi dei dipendenti comprendono la sottoscrizione di accordi di riservatezza, la formazione periodica in materia di protezione delle informazioni e il rispetto delle politiche aziendali relative alla protezione delle informazioni riservate.

Ulteriori dettagli in merito alle specifiche misure di sicurezza che si applicano ai Servizi sono indicati nelle pratiche in materia di privacy per tali Servizi, inclusa la conservazione e l'eliminazione dei dati, che è disponibile per la consultazione.

5. Gestione degli incidenti e notifica di violazione dei dati.

Oracle valuta e risponde tempestivamente agli incidenti dai quali emerga il sospetto o la certezza di accesso o trattamento non autorizzato delle Informazioni personali correlate alla prestazione dei Servizi.

Qualora Oracle venga a sapere e giunga alla conclusione che un incidente relativo alle Informazioni personali correlate alla prestazione dei Servizi si qualifica come una violazione della sicurezza che determina appropriazione illecita o distruzione, perdita, modifica accidentale o illegale, divulgazione o accesso non autorizzato delle Informazioni personali correlate alla prestazione dei Servizi trasmesse, memorizzate o altrimenti trattate sui sistemi Oracle e che compromette la sicurezza, la riservatezza o l'integrità di tali Informazioni personali correlate alla prestazione dei Servizi, Oracle Vi segnalerà senza indugio tale violazione.

Man mano che le informazioni relative alla violazione vengono raccolte o diventano per altri versi ragionevolmente disponibili a Oracle e nella misura consentita dalla legge, Oracle fornirà all'utente ulteriori informazioni pertinenti riguardanti la violazione che le siano ragionevolmente note o disponibili.

6. Sub-responsabili del trattamento

Nella misura in cui Oracle incarica Sub-responsabili del trattamento di accedere alle Informazioni personali correlate alla prestazione dei Servizi allo scopo di ottenere assistenza nella fornitura dei Servizi, tali Sub-responsabili del trattamento saranno soggetti allo stesso livello di protezione e sicurezza dei dati di Oracle ai sensi dei termini del Vostro ordine di Servizi. Oracle ha la responsabilità di garantire la conformità dei suoi Sub-responsabili del trattamento ai termini del Vostro ordine di Servizi.

Oracle gestisce gli elenchi delle proprie affiliate e dei propri Sub-responsabili del trattamento che potrebbero trattare le Informazioni personali correlate alla prestazione dei Servizi. Ulteriori informazioni sono disponibili tramite My Oracle Support (https://support.oracle.com) ID documento 2121811.1 o altro strumento di supporto primario applicabile fornito per i Servizi.

7. Trasferimenti transfrontalieri di dati

Oracle è un'azienda internazionale che opera in oltre 80 paesi e Informazioni personali relative ai servizi possono essere trattate su scala globale, per quanto necessario in conformità alla presente informativa. Se Informazioni personali relative ai servizi vengono trasferite a un destinatario Oracle in un paese che non fornisce un adeguato livello di protezione di tali informazioni, Oracle adotterà idonee misure volte a proteggere le Informazioni personali relative ai servizi, ad esempio garantendo che tali trasferimenti siano soggetti ai termini delle Clausole modello dell'Unione europea o a un altro idoneo meccanismo di trasferimento richiesto dalle pertinenti norme in materia.

Nel caso in cui l'accordo sui servizi stipulato tra l'utente e Oracle faccia riferimento all'Accordo per il trattamento dei dati di Oracle per i servizi di Oracle ("DPA"), ulteriori dettagli sul meccanismo di trasferimento dei dati applicabile all'ordine riguardante i servizi di Oracle effettuato dall'utente sono disponibili nel DPA. In particolare, per le Informazioni personali relative ai servizi trasferite dallo Spazio economico europeo ("SEE"), dalla Svizzera o dal Regno Unito ("UK"), tali trasferimenti sono soggetti alle Binding Corporate Rules for Processors (BCR-P) di Oracle o ai termini delle Clausole modello dell'UE.

8. Diritti di verifica

Limitatamente a quanto previsto nell'ordine di Servizi, Voi potrete, a Vostre spese, sottoporre a verifica la conformità di Oracle ai termini della presente Informativa sulla privacy per i Servizi inviando a Oracle una richiesta scritta, che includa un piano di verifica dettagliato, con un preavviso di almeno sei mesi rispetto alla data di verifica proposta. Voi e Oracle collaborerete per concordare un piano di verifica finale.

La verifica potrà essere condotta non più di una volta nel corso di un periodo di dodici mesi, durante i normali orari di ufficio, è soggetta alle policy e ai regolamenti interni di Oracle e non può ragionevolmente interferire con le attività aziendali. Qualora Voi desideriate avvalerVi di un revisore terzo per condurre la verifica, il revisore terzo dovrà essere scelto di comune accordo tra le parti e dovrà firmare un accordo di riservatezza che sia accettabile per Oracle. Al completamento della verifica, fornirete a Oracle una copia del report di verifica, i cui contenuti sono classificati come informazioni riservate ai sensi dei termini del Vostro accordo di Servizi stipulato con Oracle.

Oracle contribuirà a tali verifiche fornendoVi le informazioni e l'assistenza ragionevolmente necessarie per condurre la verifica, inclusi eventuali registri pertinenti delle attività di trattamento applicabili ai Servizi. Qualora la verifica richiesta possa essere soddisfatta da una report SOC 1 o SOC 2, ISO, NIST, PCI DSS, HIPAA o simile certificazione rilasciata da un revisore o certificatore terzo nei dodici mesi precedenti e Oracle Vi fornisca tale relazione in cui si conferma che non sono presenti modifiche sostanziali nei controlli sottoposti a verifica, Voi dovrete accettare i risultati presentati nel report invece di richiedere una verifica degli stessi controlli a cui la relazione si riferisce. Ulteriori termini di verifica possono essere inclusi nel Vostro ordine di Servizi.

9. Eliminazione o restituzione delle Informazioni personali correlate alla prestazione dei Servizi

Salvo diversamente specificato in un ordine di Servizi o richiesto dalla legge, al momento della cessazione dei Servizi o su Vostra richiesta, Oracle eliminerà i dati dei clienti relativi alla produzione che si trovano nei propri computer in modo tale da garantire che non sia ragionevolmente possibile accedervi o leggerli, salvo il caso in cui sussista un obbligo legale che impedisca a Oracle di eliminare tali dati, in tutto o in parte. Prima del completamento dei servizi, Voi potete contattare il referente per i Servizi Oracle per richiedere ulteriori informazioni sull'eliminazione dei dati.

II. TERMINI DEL TRATTAMENTO DEI DATI OPERATIVI DEI SISTEMI

1. Responsabilità e finalità per il trattamento delle informazioni personali

Oracle Corporation e le sue affiliate sono responsabili del trattamento delle informazioni personali che potrebbero essere casualmente contenute nei Dati operativi dei sistemi in conformità alle Sezioni II e III della presente Informativa. Consultare l'elenco delle entità Oracle. Selezionare una regione e un paese per visualizzare l'indirizzo della sede legale e i dettagli di contatto dell'entità o delle entità Oracle presenti in tale paese.

Possiamo raccogliere o generare Dati operativi dei sistemi per le seguenti finalità:

• a) per garantire la sicurezza dei nostri Servizi, inclusi il monitoraggio della sicurezza e la gestione delle identità;
• b) per svolgere attività di indagine e prevenzione di frodi e attività illegali che interessano i nostri sistemi e le nostre reti, comprese le attività legate alla prevenzione degli attacchi informatici e al rilevamento dei bot;
• c) per amministrare le nostre policy e i nostri piani di backup per disaster recovery;
• d) per verificare la conformità ai termini della licenza e ad altri termini di utilizzo (monitoraggio della conformità alla licenza);
• e) per finalità di ricerca e sviluppo, ad esempio per analizzare, sviluppare, migliorare e ottimizzare i Servizi;
• f) per rispettare le leggi e le norme applicabili e per condurre la nostra attività, ad esempio per adempiere agli obblighi di reportistica e divulgazione previsti dalla legge o per ottemperare ai requisiti di altre procedure legali, per fusioni e acquisizioni, per finalità finanziarie, contabili, di archiviazione e assicurazione e nel contesto della risoluzione delle controversie.

Per le informazioni personali contenute nei Dati operativi dei sistemi raccolti nell'UE, la base giuridica su cui facciamo affidamento per il trattamento di tali informazioni è il nostro interesse legittimo a fornire, mantenere e proteggere i nostri prodotti e servizi, e a condurre l'attività aziendale in modo efficiente e appropriato. Le informazioni personali possono inoltre essere trattate sulla base dei nostri obblighi di legge o del nostro interesse legittimo a ottemperare a tali obblighi di legge.

2. Condivisione di informazioni personali

Le informazioni personali contenute nei Dati operativi dei sistemi possono essere condivise all'interno dell'organizzazione globale di Oracle. L'elenco delle entità Oracle è disponibile come indicato sopra.

Possiamo inoltre condividere tali informazioni personali con le seguenti entità terze:

• fornitori terzi di servizi (ad esempio fornitori di servizi IT, avvocati e revisori) affinché possano svolgere funzioni aziendali per conto di Oracle;
• terze parti interessate in caso di ristrutturazione, fusione, vendita, joint venture, conferimento, trasferimento o cessione, in toto o in parte, della nostra attività, dei nostri asset o delle azioni societarie (anche nel contesto di procedure fallimentari o similari);
• come richiesto dalla legge, ad esempio per ottemperare a un mandato di comparizione o altro procedimento legale, quando riteniamo in buona fede che tale divulgazione sia necessaria per proteggere i nostri diritti, proteggere la nostra sicurezza o quella di terzi, indagare su frodi o rispondere a richieste da parte di autorità pubbliche e governative, incluse quelle al di fuori del Vostro paese di residenza, per finalità legate alla sicurezza nazionale e/o all'applicazione della legge.

Quando consentiamo a terze parti di accedere alle informazioni personali contenute nei Dati operativi dei sistemi, adotteremo misure contrattuali, tecniche e organizzative adeguate per garantire che tali informazioni vengano trattate solo nella misura necessaria e in conformità alla presente Informativa sulla privacy e alla legge applicabile.

3. Trasferimenti transfrontalieri di dati

Se le informazioni personali contenute nei Dati operativi dei sistemi vengono trasferite a un destinatario Oracle in un paese che non fornisce un adeguato livello di protezione di tali informazioni, Oracle adotterà misure volte a proteggere in modo adeguato le informazioni relative all'Utente, ad esempio garantendo che tali trasferimenti siano soggetti ai termini delle clausole di modello dell'Unione europea.

4. Sicurezza

Oracle ha implementato misure tecniche, fisiche e organizzative appropriate in conformità alle proprie pratiche aziendali in materia di sicurezza volte a proteggere le informazioni personali dalla distruzione accidentale o illegale e da perdite, danni o alterazioni accidentali, divulgazione o accesso non autorizzato e ogni altra forma di trattamento illegale (tra cui, a titolo esemplificativo, la raccolta non necessaria) o l'ulteriore trattamento.

5. Scelte dell'utente

Limitatamente a quanto previsto dalle leggi applicabili, in determinati casi gli Utenti possono richiedere di accedere, correggere, aggiornare o eliminare le informazioni personali contenute nei Dati operativi dei sistemi o esercitare in altri modi le scelte disponibili riguardo alle proprie informazioni personali compilando un modulo per la richiesta di informazioni.

III. COMUNICAZIONI E NOTIFICHE A CLIENTI E UTENTI

1. Obblighi legali.

Oracle può essere tenuta a fornire accesso alle Informazioni personali correlate alla prestazione dei Servizi e alle informazioni personali contenute nei Dati operativi dei sistemi come richiesto dalla legge, ad esempio per ottemperare a un mandato di comparizione o altro procedimento legale, quando riteniamo in buona fede che tale divulgazione sia necessaria per proteggere i nostri diritti, proteggere la nostra sicurezza o quella di terzi, indagare su frodi o rispondere a richieste da parte di autorità pubbliche e governative, incluse quelle al di fuori del paese di residenza Vostro o dell'Utente, per finalità legate alla sicurezza nazionale e/o all'applicazione della legge.

Oracle Vi informerà tempestivamente delle richieste di fornire accesso alle Informazioni personali correlate alla prestazione dei Servizi, salvo diversamente richiesto dalla legge.

2. Responsabile globale della protezione dei dati

Oracle ha nominato un Responsabile globale della protezione dei dati che è anche il Chief Privacy Officer di Oracle. Qualora Voi o l'Utente riteniate che le informazioni personali siano state utilizzate in maniera non conforme a quanto stabilito nella presente Informativa sulla privacy o abbia ulteriori domande, commenti o suggerimenti correlati al trattamento da parte di Oracle delle Informazioni personali correlate alla prestazione dei Servizi o delle informazioni personali contenute nei Dati operativi dei sistemi, potete contattare il Responsabile della protezione dei dati compilando un modulo per la richiesta di informazioni.

Le richieste scritte al Responsabile globale della protezione dei dati possono essere inviate al seguente indirizzo:

Oracle Corporation
Responsabile globale della protezione dei dati
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
Stati Uniti

Per le informazioni personali raccolte ALL'INTERNO dell'UE/del SEE, le richieste scritte al Responsabile della protezione dei dati per l'UE possono essere indirizzate a:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg/Monaco di Baviera
Germania

Per le informazioni personali raccolte ALL'INTERNO del Brasile, le richieste scritte al Responsabile della protezione dei dati per il Brasile possono essere indirizzate a:

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, Brasile

3. Risoluzione delle controversie o presentazione di reclami

Qualora Voi o l'Utente abbiate eventuali reclami in merito alla nostra conformità alle pratiche in materia di privacy e sicurezza, Vi invitiamo a contattarci. Sarà nostra cura avviare le opportune indagini e tentare di risolvere reclami e controversie in merito alle nostre pratiche in materia di privacy.

Gli Utenti che ritengano di non aver ricevuto una risposta adeguata al problema segnalato relativamente alla privacy o all'utilizzo dei dati possono contattare gratuitamente il nostro fornitore di servizi per la risoluzione di controversie, operante negli Stati Uniti, all'indirizzo https://feedback-form.truste.com/watchdog/request.

In presenza di determinate condizioni, gli Utenti possono ricorrere a un arbitrato vincolante qualora le altre procedure di risoluzione delle controversie non abbiano prodotto risultati. Gli utenti hanno inoltre diritto a presentare un reclamo presso un'autorità competente per la protezione dei dati se risiedono in uno degli stati membri dell'Unione europea.

4. Modifiche alla presente Informativa sulla privacy per i Servizi

La presente Informativa sulla privacy è stata aggiornata l'ultima volta il 9 aprile 2021. Tuttavia l'Informativa sulla privacy per i Servizi può cambiare nel corso del tempo, ad esempio per ottemperare ai requisiti legali o per soddisfare nuove esigenze aziendali. La versione più aggiornata è disponibile su questo sito Web. Qualora venga apportata una modifica sostanziale, Vi Oracle ne informerà anche in altro modo appropriato (ad esempio mediante un avviso popup o una dichiarazione relativa alle modifiche riportata sul nostro sito Web).

Versioni precedenti: 19/01/2021 | 20/10/2020 | 07/03/2019 | 14/02/2019