Accordo di licenza EBSCO

ULTIMO AGGIORNAMENTO: ottobre 2023

Utilizzando i servizi disponibili su questo sito o mettendo i servizi a disposizione degli Utenti Autorizzati, gli Utenti Autorizzati e il Licenziatario accettano di rispettare i seguenti termini e condizioni (il "Contratto"). Ai fini del presente Contratto, "EBSCO" è EBSCO Publishing, Inc.; il "Licenziatario" è l'entità o l'istituzione che rende disponibili le banche dati e i servizi offerti da EBSCO; i "Siti" sono i siti Internet offerti o gestiti dal Licenziatario dai quali gli Utenti Autorizzati possono ottenere l'accesso alle banche dati e ai servizi di EBSCO; e gli "Utenti Autorizzati" sono dipendenti, studenti, clienti registrati, clienti occasionali o altre persone affiliate al Licenziatario o altrimenti autorizzate ad utilizzare le strutture del Licenziatario e autorizzate da quest'ultimo ad accedere alle banche dati o ai servizi. Gli "Utenti autorizzati" non comprendono gli ex allievi del Licenziatario. "Servizi" indica EBSCOhost, EBSCO Discovery Service, EBSCO eBooks, Flipster e i prodotti correlati per i quali il Licenziatario ha acquistato l'accesso o un abbonamento. I "Servizi" comprendono anche gli eBook per i quali il Licenziatario ha acquistato un accesso o un abbonamento e i periodici per i quali il Licenziatario ha acquistato un abbonamento. "Banche dati" indica i prodotti messi a disposizione da EBSCO. EBSCO declina ogni responsabilità per l'accuratezza, la completezza o la funzionalità di qualsiasi materiale contenuto nel presente documento, a cui si fa riferimento o a cui si fa riferimento. La pubblicazione delle informazioni di assistenza in questo contenuto non implica l'approvazione dei produttori dei prodotti trattati. EBSCO non si assume alcuna responsabilità per errori o omissioni né per danni derivanti dall'uso delle informazioni qui contenute. Le persone che si impegnano nelle procedure qui incluse lo fanno interamente a loro rischio e pericolo.

I. LICENZA

A. EBSCO concede al Licenziatario il diritto non trasferibile e non esclusivo di utilizzare le Banche Dati e i Servizi resi disponibili da EBSCO secondo i termini e le condizioni del presente Accordo. Le Banche dati e i Servizi messi a disposizione degli Utenti autorizzati sono protetti da copyright e il proprietario originale del copyright (EBSCO o i suoi licenziatari) mantiene la proprietà delle Banche dati e dei Servizi e di tutte le loro parti. EBSCO non trasferisce alcuna proprietà, e il Licenziatario e i Siti non possono riprodurre, distribuire, mostrare, modificare, trasferire o trasmettere, in qualsiasi forma o con qualsiasi mezzo, alcun Database o Servizio o parte di esso senza il preventivo consenso scritto di EBSCO, ad eccezione di quanto specificamente autorizzato nel presente Accordo.

B. Il Licenziatario è autorizzato a fornire accesso in loco attraverso i Siti ai Database e ai Servizi a qualsiasi Utente Autorizzato. Il Licenziatario non può pubblicare le password dei database o dei servizi su qualsiasi sito web indicizzato pubblicamente. Il Licenziatario e i Siti sono autorizzati a fornire l'accesso remoto alle Banche dati e ai Servizi solo ai loro clienti, a condizione che vengano adottate procedure di sicurezza che impediscano l'accesso remoto da parte di istituzioni, dipendenti di istituzioni non abbonati o individui, che non sono parti del presente Accordo, a cui non sia stato espressamente e specificamente concesso l'accesso da parte di EBSCO. A scanso di equivoci, se il Licenziatario fornisce accesso remoto a individui su una scala più ampia di quella contemplata all'inizio del presente Contratto, EBSCO può ritenere il Licenziatario inadempiente e sospendere l'accesso al/ai Database o ai Servizi. L'accesso remoto alle banche dati o ai servizi è consentito ai patroni delle istituzioni abbonate che accedono da postazioni remote per uso personale e non commerciale. Tuttavia, l'accesso remoto ai database o ai servizi da parte di istituzioni non abbonate non è consentito se lo scopo dell'uso è un guadagno commerciale attraverso la riduzione o l'evitamento dei costi per un'istituzione non abbonata.

C. Il Licenziatario e gli Utenti Autorizzati accettano di rispettare il Copyright Act del 1976, nonché qualsiasi restrizione contrattuale, restrizione di copyright o altre restrizioni fornite dagli editori e specificate nei Database o nei Servizi. In base a questi termini e condizioni, il Licenziatario e gli Utenti Autorizzati possono scaricare o stampare copie limitate di citazioni, riassunti, testo completo o porzioni di esso, a condizione che le informazioni siano utilizzate esclusivamente in conformità alla legge sul copyright. Il Licenziatario e gli Utenti Autorizzati non possono pubblicare le informazioni. Il Licenziatario e gli Utenti Autorizzati non utilizzeranno il Database o i Servizi come componente o base di qualsiasi altra pubblicazione preparata per la vendita e non duplicheranno né altereranno i Database o i Servizi o nessuno dei loro contenuti in alcun modo, né li utilizzeranno per la vendita o la distribuzione. Il Licenziatario e gli Utenti Autorizzati possono creare stampe di materiali recuperati attraverso i Database o i Servizi, stampando online, stampando offline, via fax o posta elettronica. Tutte le riproduzioni e la distribuzione di tali stampe, e tutti i download e l'archiviazione elettronica dei materiali recuperati attraverso i database o i servizi saranno per uso interno o personale. È severamente vietato scaricare tutti o parti dei database o dei servizi in modo sistematico o regolare in modo da creare una collezione di materiali che comprenda tutti o parte dei database o dei servizi, indipendentemente dal fatto che tale collezione sia in formato elettronico o cartaceo. Nonostante le restrizioni di cui sopra, questo paragrafo non limita l'uso dei materiali secondo la dottrina del "fair use" come definito dalle leggi degli Stati Uniti. Gli editori possono imporre le proprie condizioni d'uso applicabili solo al loro contenuto. Tali condizioni d'uso devono essere visualizzate sugli schermi dei computer associati a tali contenuti. Il licenziatario prenderà tutte le precauzioni ragionevoli per limitare l'uso dei database o dei servizi a quelli specificamente autorizzati dal presente accordo.

D. I Siti autorizzati possono essere aggiunti o eliminati dal presente Contratto secondo quanto concordato da EBSCO e dal Licenziatario.

E. Il Licenziatario accetta di rispettare il Copyright Act del 1976 e accetta di indennizzare EBSCO contro qualsiasi azione del Licenziatario che non sia conforme al Copyright Act del 1976.

F. Il software utilizzato tramite le banche dati e i servizi di EBSCO è protetto dalle leggi sul copyright e dai trattati internazionali. La riproduzione o la distribuzione non autorizzata di questo software, o di qualsiasi parte di esso, non è consentita. L'utente non può decodificare, decompilare, disassemblare, modificare, tradurre, fare qualsiasi tentativo di scoprire il codice sorgente del software, o creare opere derivate dal software.

G. I database non sono destinati a sostituire gli abbonamenti esistenti del Licenziatario ai contenuti disponibili nei database.

H. Il licenziatario accetta di non includere alcuna pubblicità nei database o nei servizi.

II. GARANZIA LIMITATA E LIMITAZIONE DI RESPONSABILITÀ

A. EBSCO e i suoi licenziatari declinano tutte le garanzie, espresse o implicite, incluse, ma non solo, le garanzie di commerciabilità, non violazione o idoneità per uno scopo particolare. Né EBSCO né i suoi licenzianti si assumono o autorizzano qualsiasi altra persona ad assumere per EBSCO o per i suoi licenzianti qualsiasi altra responsabilità in relazione alla concessione in licenza dei Database o dei Servizi ai sensi del presente Contratto e/o al loro utilizzo da parte del Licenziatario e dei Siti o degli Utenti Autorizzati.

B. LA MASSIMA RESPONSABILITÀ DI EBSCO E DEI SUOI LICENZIATARI, SE PRESENTI, AI SENSI DEL PRESENTE CONTRATTO, O DERIVANTE DA QUALSIASI RECLAMO RELATIVO AI PRODOTTI, PER DANNI DIRETTI, SIA PER CONTRATTO, SIA PER TORTO O ALTRO, SARÀ LIMITATA ALL'IMPORTO TOTALE DELLE COMMISSIONI RICEVUTE DA EBSCO DAL LICENZIATARIO AI SENSI DEL PRESENTE CONTRATTO FINO AL MOMENTO IN CUI LA CAUSA DI AZIONE CHE HA DATO ORIGINE A TALE RESPONSABILITÀ SI È VERIFICATA. IN NESSUN CASO EBSCO O I SUOI LICENZIATARI SARANNO RESPONSABILI NEI CONFRONTI DEL LICENZIATARIO O DI QUALSIASI UTENTE AUTORIZZATO PER QUALSIASI DANNO INDIRETTO, INCIDENTALE, CONSEQUENZIALE, PUNITIVO O SPECIALE RELATIVO ALL'USO DEI DATABASE O DEI SERVIZI O A QUESTI TERMINI E CONDIZIONI, ANCHE SE AVVISATI DELLA POSSIBILITÀ DI TALI DANNI.

C. Il Licenziatario è responsabile del mantenimento di una licenza valida per le risorse di terze parti configurate per essere utilizzate tramite i Servizi (se applicabile). EBSCO declina ogni responsabilità per un Licenziatario che acceda alle risorse di terze parti senza la dovuta autorizzazione.

D. EBSCO non è responsabile se le risorse di terzi accessibili tramite i Servizi non funzionano correttamente o se le risorse di terzi accessibili tramite i Servizi causano problemi al Licenziatario. Mentre EBSCO farà del suo meglio per aiutare a risolvere i problemi, il Licenziatario riconosce che alcuni aspetti della funzionalità possono dipendere da fornitori di risorse di terze parti che potrebbero dover essere contattati direttamente per la risoluzione.

III. PREZZO E PAGAMENTO

A. Le tariffe di licenza sono state concordate da EBSCO e dal Licenziatario e comprendono tutte le emissioni retrospettive del/i Prodotto/i e gli aggiornamenti forniti durante il periodo di validità del presente Contratto. Gli obblighi di pagamento del Licenziatario saranno nei confronti di EBSCO o del suo assegnatario. I pagamenti sono dovuti al ricevimento della/e fattura/e e saranno considerati inadempienti se non ricevuti entro trenta (30) giorni. Le fatture in ritardo sono soggette a un interesse del 12% annuo sul saldo non pagato (o il tasso massimo consentito dalla legge se tale tasso è inferiore al 12%). Il Licenziatario sarà responsabile di tutte le spese di riscossione. La mancata o ritardata esecuzione dei pagamenti dovuti a EBSCO ai sensi del presente Contratto costituirà, a discrezione di EBSCO, una violazione materiale del presente Contratto. Nel caso in cui vengano apportate modifiche all'elenco dei Siti autorizzati, dei Database, dei Servizi e dei prezzi identificati nel presente Accordo, gli adeguamenti proporzionali del prezzo contrattuale saranno calcolati da EBSCO e fatturati al Licenziatario e/o ai Siti di conseguenza a partire dalla data di tali modifiche. Il pagamento sarà dovuto al ricevimento di eventuali fatture aggiuntive pro rata e sarà considerato inadempiente se non ricevuto entro trenta (30) giorni dalle date delle fatture.

B. Le tasse, se presenti, non sono incluse nel prezzo concordato e possono essere fatturate separatamente. Tutte le tasse applicabili al/i Database ai sensi del presente Accordo, indipendentemente dal fatto che tali tasse siano o meno fatturate da EBSCO, saranno di esclusiva responsabilità del Licenziatario e/o dei Siti.

IV. CESSAZIONE

A. In caso di violazione di uno qualsiasi dei suoi obblighi ai sensi del presente Contratto, il Licenziatario avrà il diritto di porre rimedio alla violazione entro trenta (30) giorni dal ricevimento della comunicazione scritta da parte di EBSCO. Entro il periodo di tale avviso, il Licenziatario dovrà compiere ogni ragionevole sforzo e documentare tale sforzo per porre rimedio a tale violazione e dovrà istituire ogni ragionevole procedura per prevenire il verificarsi di tali violazioni in futuro. Se il Licenziatario non pone rimedio a tale violazione entro il periodo di trenta (30) giorni, EBSCO può (a sua discrezione) rescindere il presente Contratto mediante comunicazione scritta al Licenziatario.

B. Se EBSCO viene a conoscenza di una violazione materiale degli obblighi del Licenziatario ai sensi del presente Contratto o di una violazione da parte del Licenziatario o degli Utenti Autorizzati dei diritti di EBSCO o dei suoi licenziatari o di una violazione dei diritti di EBSCO o dei suoi licenziatari, allora EBSCO ne informerà immediatamente il Licenziatario per iscritto e avrà il diritto di sospendere temporaneamente l'accesso del Licenziatario alle Banche Dati o ai Servizi. Al Licenziatario sarà data la possibilità di porre rimedio alla violazione o all'infrazione entro trenta (30) giorni dal ricevimento della notifica scritta da parte di EBSCO. Una volta che la violazione o l'infrazione è stata riparata o l'attività illecita è stata interrotta, EBSCO ripristinerà l'accesso ai database o ai servizi. Se il Licenziatario non pone rimedio in modo soddisfacente all'attività illecita entro trenta (30) giorni, EBSCO può rescindere il presente Contratto previa comunicazione scritta al Licenziatario.

C. Le disposizioni di cui alle sezioni I, II e V del presente accordo sopravvivono alla durata del presente accordo e continuano ad essere in vigore in perpetuo.

V. AVVISI DI PRESUNTA VIOLAZIONE DEL COPYRIGHT

EBSCO ha nominato un agente per ricevere le notifiche di reclami di violazione del copyright riguardanti materiali disponibili o accessibili su, attraverso o in connessione con i nostri servizi. Qualsiasi persona autorizzata ad agire per conto del proprietario del copyright può notificarci tali reclami contattando il seguente agente: Kim Stam, EBSCO Publishing, 10 Estes Street, Ipswich, MA 01938; telefono: 978-356-6500, fax: 978-356-5191; e-mail: kstam@ebsco.com. Nel contattare questo agente, la persona che lo contatta deve fornire tutte le informazioni pertinenti, compresi gli elementi di notifica stabiliti nel 17 U.S.C. 512.

VI. GENERALE

A. Né EBSCO né i suoi concessori di licenza saranno responsabili o considerati inadempienti per eventuali ritardi o mancate prestazioni risultanti direttamente o indirettamente da qualsiasi causa o circostanza al di fuori del loro ragionevole controllo, inclusi, a titolo esemplificativo, atti di Dio, guerra, sommossa, embargo, atti di autorità civile o militare, pioggia, incendio, inondazione, incidenti, terremoto/i, scioperi o carenza di manodopera, carenza di mezzi di trasporto o guasti delle attrezzature, o guasti di Internet.

B. Questo Accordo e la licenza qui concessa non possono essere assegnati dal Licenziatario a terze parti senza il consenso scritto di EBSCO.

C. Se un qualsiasi termine o condizione di questo accordo è ritenuto non valido o non applicabile da un tribunale della giurisdizione competente o da un'agenzia amministrativa, i restanti termini e condizioni rimarranno in pieno vigore ed effetto fino a quando un accordo valido sarà in vigore.

D. Se il Licenziatario e/o i Siti utilizzano ordini di acquisto in congiunzione con il presente Accordo, allora il Licenziatario e/o i Siti accettano che la seguente dichiarazione sia automaticamente resa parte di tali ordini di acquisto: "I termini e le condizioni stabiliti nel Contratto di Licenza EBSCO sono resi parte di questo ordine di acquisto e sostituiscono tutti i termini e le condizioni, espressi o impliciti, in questo ordine di acquisto, incluso qualsiasi rinnovo dello stesso".

E. Il presente accordo e la nostra politica sulla privacy rappresentano l'intero accordo e l'intesa delle parti per quanto riguarda l'argomento in questione e sostituiscono tutti i precedenti accordi e intese, scritti e/o orali. Non ci sono dichiarazioni, garanzie, promesse, patti o impegni, ad eccezione di quanto descritto in questo accordo e nella nostra politica sulla privacy.

F. EBSCO concede al Licenziatario il diritto non trasferibile di utilizzare qualsiasi indirizzo IP fornito da EBSCO al Licenziatario per essere utilizzato con i Servizi. EBSCO non trasferisce alcuna proprietà degli indirizzi IP che fornisce al Licenziatario. In caso di cessazione della licenza del Licenziatario per i Servizi, il diritto del Licenziatario di utilizzare tali indirizzi IP cesserà.

G. Tutte le informazioni che EBSCO raccoglie quando il Licenziatario accede, utilizza o fornisce l'accesso alle Banche dati e ai Servizi sono soggette alla Privacy Policy di EBSCO, che è qui incorporata per riferimento. Accedendo o utilizzando le Banche dati e/o i Servizi, voi acconsentite a tutte le azioni intraprese da EBSCO in relazione alle vostre informazioni in conformità alla Politica sulla privacy.

 

ADDENDUM AL TRATTAMENTO DEI DATI

Il presente Addendum al trattamento dei dati (l'"Addendum") integra il Contratto di licenza EBSCO (il "Contratto") tra il Cliente ("Cliente") e EBSCO Publishing, Inc. ("EBSCO").

  1. Definizioni
    1. Ai fini del presente Addendum, i termini "Controllore", "Responsabile del trattamento", "Soggetto dei dati", "Dati personali", "Violazione dei dati personali", "Trattamento", "Subprocessore" e "Autorità di controllo" avranno lo stesso significato della legislazione applicabile in materia di protezione dei dati e i loro termini correlati saranno interpretati di conseguenza.
    2. Le "misure tecniche e organizzative appropriate" devono essere interpretate in conformità con la legislazione applicabile in materia di protezione dei dati.
    3. "Dati Personali del Cliente" indica i Dati Personali che sono forniti dal Cliente a EBSCO o che sono trattati da EBSCO per conto del Cliente in relazione al Contratto.
    4. "Legislazione sulla protezione dei dati" indica tutta la legislazione applicabile in materia di protezione dei dati e della privacy in vigore di volta in volta dove EBSCO svolge la propria attività, tra cui il Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (il "GDPR"), la Direttiva 2002/58/CE sulla privacy e le comunicazioni elettroniche (come aggiornata dalla Direttiva 2009/136/CE), il California Consumer Privacy Act del 2018, Cal. Civ. Code § 1798.100, et seq. (il "CCPA"), e tutte le altre leggi e regolamenti applicabili relativi al trattamento dei dati personali, compresa qualsiasi legislazione che implementa o integra, sostituisce, abroga e/o sostituisce una delle precedenti.
    5. "Trasferimento internazionale di dati" indica il trasferimento (diretto o tramite trasferimento successivo) di dati personali dall'interno dello Spazio economico europeo/regno Unito (a seconda dei casi) a un paese non riconosciuto dalla Commissione europea come fornitore di un adeguato livello di protezione dei dati personali (come descritto nel GDPR).
    6. "Dati Personali dell'Utente" indica i Dati Personali forniti direttamente dagli utenti finali del Cliente a EBSCO attraverso i prodotti e servizi acquistati dal Cliente.
  2. Elaborazione dei dati: EBSCO come elaboratore per il cliente
    1. Laddove i Dati Personali del Cliente siano trattati da EBSCO, EBSCO agirà in qualità di Responsabile del Trattamento e il Cliente agirà in qualità di Controllore. 
      1. Oggetto. L'oggetto del Trattamento è costituito dai Dati Personali del Cliente.
      2. Durata.Il Trattamento sarà effettuato per la durata stabilita nell'Accordo.
      3. Natura e scopo. La finalità del Trattamento è la fornitura al Cliente di prodotti e servizi acquistati dal Cliente di volta in volta.
      4. Tipo di dati personali del cliente e soggetti dei dati.I Dati Personali del Cliente consistono nelle seguenti categorie di informazioni relative alle seguenti categorie di Soggetti dei Dati:
        1. Rappresentanti del Cliente: nome, indirizzo, indirizzo e-mail, informazioni di fatturazione, credenziali di accesso, dati di geolocalizzazione e affiliazione professionale.
        2. Gli utenti finali dei prodotti e servizi EBSCO acquistati dal Cliente (laddove le informazioni sull'account personalizzato siano fornite a EBSCO dal Cliente): nome, indirizzo e indirizzo e-mail.
    2. EBSCO non tratterà i Dati Personali del Cliente se non su istruzioni documentate del Cliente (come indicato nel presente Addendum o nel Contratto o come altrimenti indicato dal Cliente per iscritto). EBSCO non tratterà i Dati Personali del Cliente per alcuno scopo, incluso qualsiasi scopo commerciale, diverso dallo scopo specifico di eseguire i servizi specificati nel Contratto. Se il trattamento dei dati personali del cliente in contrasto con le precedenti disposizioni della presente sezione è richiesto dalla legislazione applicabile in materia di protezione dei dati a cui EBSCO è soggetta, EBSCO, nella misura consentita dalla legislazione applicabile in materia di protezione dei dati, informerà il cliente di tale requisito legale prima di procedere con il relativo trattamento dei dati personali del cliente.
    3. EBSCO notificherà prontamente al Cliente se, a parere di EBSCO, un'istruzione per il trattamento dei dati personali del Cliente viola la legislazione applicabile in materia di protezione dei dati.
    4. EBSCO garantirà che tutto il personale che ha accesso e/o elabora i dati personali del cliente sia soggetto a impegni di riservatezza o a obblighi di riservatezza professionali o legali.
    5. EBSCO, in relazione ai Dati Personali del Cliente, attuerà misure tecniche e organizzative appropriate per proteggere dal trattamento non autorizzato o illegale dei Dati Personali del Cliente e dalla perdita o distruzione accidentale o dal danneggiamento dei Dati Personali del Cliente.Nel considerare quale misura sia appropriata, ciascuna parte deve tenere conto dello stato della buona pratica, dello sviluppo tecnico e del costo di implementazione di qualsiasi misura per assicurare un livello di sicurezza appropriato al danno che potrebbe derivare da tale trattamento non autorizzato o illegale o dalla perdita o distruzione accidentale, e alla natura dei dati da proteggere.
    6. EBSCO assisterà il Cliente, tenendo conto della natura del Trattamento, (A) mediante misure tecniche e organizzative adeguate e, ove possibile, nell'adempimento degli obblighi del Cliente di rispondere alle richieste degli interessati che esercitano i loro diritti ai sensi della legislazione applicabile in materia di protezione dei dati; (B) nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del Trattamento e delle informazioni a disposizione di EBSCO; e (C) mettendo a disposizione del Cliente tutte le informazioni ragionevolmente richieste dal Cliente al fine di dimostrare che gli obblighi del Cliente relativi alla nomina dei responsabili del trattamento di cui all'articolo 28 del GDPR sono stati soddisfatti.
    7. EBSCO informerà prontamente il Cliente non appena verrà a conoscenza di qualsiasi violazione dei dati personali confermata che riguardi i dati personali del Cliente.
    8. Alla cessazione del Contratto, EBSCO, a scelta del Cliente, cancellerà o restituirà in modo sicuro i Dati Personali del Cliente e distruggerà le copie esistenti, a meno che la conservazione o il mantenimento di tali Dati Personali del Cliente sia richiesto da qualsiasi legge applicabile a cui EBSCO sia soggetta.
    9. EBSCO consentirà al Cliente e ai rappresentanti autorizzati del Cliente di accedere e rivedere attestazioni aggiornate, relazioni o estratti delle stesse da parte di organismi indipendenti (ad esempio, revisori esterni, revisori della protezione dei dati) o certificazioni adeguate, o di condurre audit o ispezioni per garantire il rispetto dei termini del presente Addendum. Qualsiasi verifica o ispezione deve essere condotta durante il normale orario di lavoro di EBSCO, con un ragionevole preavviso a EBSCO e soggetta a ragionevoli procedure di riservatezza. Inoltre, gli audit o le ispezioni sono limitati a una volta all'anno.
      EBSCO, in caso di subprocessori terzi soggetti alla legislazione sulla protezione dei dati, (A) informerà il Cliente e otterrà il suo previo consenso scritto (l'esecuzione del presente Addendum sarà considerata come il previo consenso scritto del Cliente a tali subprocessori terzi); (B) fornirà un elenco di subprocessori terzi su richiesta del Cliente; e (C) informerà il Cliente di qualsiasi modifica prevista ai subprocessori terzi, e darà al Cliente una ragionevole opportunità di opporsi a tali modifiche. Se EBSCO fornisce Dati Personali a Subprocessori terzi, EBSCO includerà nel suo contratto con tali Subprocessori terzi termini che offrono almeno lo stesso livello di protezione dei Dati Personali del Cliente di quelli contenuti nel presente documento e di quelli richiesti dalla legislazione applicabile in materia di protezione dei dati.
  3. Trattamento dei dati: EBSCO come controllore congiunto con il cliente
    1. EBSCO e il Cliente agiranno come controllori congiunti per quanto riguarda i Dati Personali dell'Utente.
    2. EBSCO avrà la responsabilità di fornire agli utenti finali del cliente le informazioni richieste dagli articoli 13 e 14 del GDPR (compresa l'identificazione di un punto di contatto per gli utenti) prima del trattamento dei dati personali dell'utente, e di informare gli utenti finali del cliente sull'essenza dell'accordo di EBSCO con il cliente.
    3. EBSCO fornirà ai Soggetti dei Dati dell'utente finale del Cliente la possibilità di esercitare i loro diritti individuali rispetto ai Dati Personali dell'Utente all'interno di un portale self-service.
  4. Trasferimenti internazionali di dati
    1. Nella misura in cui qualsiasi dato personale del cliente è soggetto a qualsiasi trasferimento internazionale di dati, le parti accettano di essere vincolate da, e tutti i termini e le disposizioni del Controller to Processor Standard Contractual Clauses adottato dalla Commissione Europea ("Processor Model Clauses") sono incorporati per riferimento al presente Addendum con la stessa forza ed effetto come se fossero completamente esposti nel presente Addendum, dove:
      1. Il Cliente è l'"esportatore di dati" e EBSCO International, Inc. è l'"importatore di dati"
      2. Le disposizioni del Modulo Due sono incorporate; le disposizioni dei Moduli Uno, Tre e Quattro, le note a piè di pagina e le clausole 9, 11(a) Opzione e 17 Opzione 1 sono omesse; le clausole sono disciplinate dalla legge irlandese e l'autorità di vigilanza competente è l'Irlanda.
    2. Nella misura in cui qualsiasi dato personale dell'utente è soggetto a qualsiasi trasferimento internazionale di dati, le parti accettano di essere vincolate da, e tutti i termini e le disposizioni delle clausole contrattuali standard da controllore a controllore adottate dalla Commissione Europea ("Clausole modello del controllore") sono incorporate per riferimento al presente Addendum con la stessa forza ed effetto come se fossero completamente esposte nel presente Addendum, dove:
      1. Il Cliente è l'"esportatore di dati" e EBSCO è l'"importatore di dati"; e
      2. Le disposizioni del Modulo Uno sono incorporate; le disposizioni dei Moduli Due, Tre e Quattro, le note a piè di pagina e le clausole 9, 11(a) Opzione e 17 Opzione 1 sono omesse; le clausole sono regolate dalla legge dell'Irlanda e l'autorità di vigilanza competente è l'Irlanda.
    3. Le clausole modello del processore e le clausole modello del controllore sono collettivamente le "clausole contrattuali standard". La versione applicabile delle clausole contrattuali standard è quella approvata dalla Commissione europea il 4 giugno 2021. Nel caso in cui le Clausole Contrattuali Standard siano aggiornate, sostituite, modificate o riemesse dalla Commissione Europea (e le Clausole Contrattuali Standard aggiornate siano le "Nuove Clausole Contrattuali") durante il periodo di validità del presente Addendum, le Nuove Clausole Contrattuali saranno considerate sostitutive delle Clausole Contrattuali Standard e le parti si impegnano ad essere vincolate dai termini delle Nuove Clausole Contrattuali a partire dalla data dell'aggiornamento (a meno che una delle parti si opponga a tale modifica) e le parti eseguiranno un modulo delle Nuove Clausole Contrattuali.
    4. Le descrizioni richieste dagli allegati delle clausole contrattuali standard sono sostituite dalle informazioni contenute negli allegati 1, 2 e 3 del presente addendum.
    5. Nella misura in cui l'Information Commissioner's Office del Regno Unito rilasci clausole contrattuali standard allo scopo di rendere legali i Trasferimenti Internazionali di Dati durante il periodo di validità del presente Addendum che avranno un impatto sui trasferimenti dei Dati Personali del Cliente o dei Dati Personali dell'Utente (e tali clausole saranno le "Clausole Contrattuali Standard del Regno Unito"), per quanto possibile, le Clausole Contrattuali Standard del Regno Unito saranno considerate incorporate nel presente Addendum e le parti si impegnano ad essere vincolate dai termini delle Clausole Contrattuali Standard del Regno Unito a partire dalla data della loro emissione (salvo che una delle parti si opponga a tale cambiamento) e le parti eseguiranno un modulo delle Clausole Contrattuali Standard del Regno Unito.

 

SCHEDA I: Elenco delle parti e descrizione dei trasferimenti di dati

A. ELENCO DELLE PARTI

Esportatore/i di dati: [Identità e dati di contatto dell'esportatore/i di dati e, se del caso, del suo/dei suoi responsabile/i della protezione dei dati e/o rappresentante nell'Unione europea]

  1. Nome:
    Indirizzo:
    Nome, posizione e recapiti del referente:
    Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole:
    Firma e data:
    Ruolo (responsabile del trattamento/incaricato del trattamento):
    Titolare e Contitolare del trattamento

  2. Informazioni aggiuntive: EBSCO e il Cliente agiranno in qualità di controllori congiunti per quanto riguarda i Dati personali degli utenti (come definiti nell'Accordo). I Controllori congiunti dovranno svolgere di conseguenza le seguenti responsabilità:

Cliente EBSCO

Personalizzazione: il cliente decide se abilitare le funzionalità degli account personalizzati nel prodotto

Autorizzare il trattamento dei dati dell'utente finale da parte di EBSCO tramite l'accordo tra le parti

  • Fornire la base giuridica per il trattamento dei dati dell'utente finale
  • Stabilire le finalità e l'ambito del trattamento

Implementazione di misure tecniche e organizzative per garantire la sicurezza della rete

  • Controlli di accesso - fornire linee guida a EBSCO per autorizzare chi può accedere al prodotto nell'ambito dell'abbonamento del cliente

Richieste di accesso ai dati

  • Se necessario, fornisce i dettagli delle richieste a EBSCO se il Cliente riceve richieste da parte di utenti finali (nel caso in cui un utente finale presenti una richiesta attraverso il Cliente piuttosto che attraverso EBSCO)

 

 

 

 

 

 

 

 

 

Implementazione di misure organizzative e tecniche

  • Per maggiori dettagli, consultare l'Allegato II e il documento bianco sulla sicurezza

Manutenzione e supporto del prodotto

  • Patch di sicurezza
  • Aggiornamenti delle funzioni
  • Supporto tecnico
  • Disponibilità e tempo di attività

Archiviazione dei dati, compresi i backup

Stabilire le finalità e l'ambito del trattamento tramite l'accordo tra le parti

Richieste di accesso ai dati

  • Riceve ed elabora le richieste di accesso ai dati e rispetta i diritti di informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, diritto di opposizione e diritto di evitare il processo decisionale automatizzato
  • Gestisce il modulo di contatto, l'indirizzo e-mail e il numero di telefono per l'accettazione delle richieste di privacy
  • Su richiesta, notifica al cliente la richiesta dell'interessato

Fornire la base giuridica per il trattamento dei dati dell'utente finale

  • L'accordo tra le parti stabilisce un contratto per la fornitura di servizi
  • Raccolta del consenso individuale e dell'accettazione dei termini d'uso, dell'informativa sulla privacy, ecc. da parte degli utenti finali

Risposta agli incidenti

  • Implementazione del processo
  • Notifica al cliente

Subprocessori: verifica e notifica al cliente di nuovi subprocessori

Valutazioni del rischio per la privacy - condurre PRA/DPIA come necessario per i fornitori, le funzioni, i prodotti, ecc. che elaborano informazioni personali

 

Importatore/i di dati:
Per i dati personali dei clienti:

  1. Nome: EBSCO Publishing, Inc.
    Indirizzo: 10 Estes Street, Ipswich, MA 01938
    Nome, posizione e recapiti della persona di contatto:
    Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole:
    Ricerca accademica e scolastica, creazione e personalizzazione di profili utente
    Firma e data:
    Ruolo (responsabile del trattamento/incaricato del trattamento):
    Titolare congiunto, Incaricato del trattamento

  2. Informazioni aggiuntive: il Cliente agirà in qualità di Titolare dei Dati Personali del Cliente laddove i Dati Personali del Cliente siano trattati da EBSCO. EBSCO agirà come responsabile del trattamento dei dati personali del cliente.
    Per "Dati Personali del Cliente" si intendono i Dati Personali forniti dal Cliente a EBSCO o trattati da EBSCO per conto del Cliente in relazione all'Accordo.

Per i dati personali dell'utente:

  1. Nome: EBSCO International, Inc.
    Indirizzo: 10 Estes Street, Ipswich, MA 01938
    Nome, posizione e recapiti della persona di contatto:
    Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: Ricerca accademica e scolastica, creazione e creazione di profili utente
    Firma e data:
    Ruolo (responsabile del trattamento/incaricato del trattamento): Joint Controller and Processor
  2. Informazioni aggiuntive: il Cliente agirà in qualità di Titolare del trattamento dei Dati Personali dell'Utente laddove i Dati Personali dell'Utente siano trattati da EBSCO. EBSCO agirà in qualità di Titolare comune dei Dati personali degli utenti.

    Per "Dati Personali degli Utenti" si intendono i Dati Personali forniti direttamente dagli utenti finali del Cliente a EBSCO attraverso i prodotti e i servizi acquistati dal Cliente.

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali vengono trasferiti: Informazioni sull'entità necessarie per gestire l'abbonamento e gli utenti delle applicazioni, tra cui, ma non solo, studenti, insegnanti, dipendenti, autori

Categorie di dati personali trasferiti: nome, cognome, indirizzo e-mail, informazioni di autenticazione, informazioni di ricerca, note di ricerca

Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi: Non applicabile

La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo): Continuo

Natura del trattamento: fornire l'accesso alle banche dati EBSCO; memorizzare le informazioni degli utenti in profili personalizzati; facilitare il recupero della cronologia delle ricerche degli utenti;

Finalità del trasferimento e dell'ulteriore trattamento dei dati: Esecuzione degli obblighi tra le parti, ai sensi dell'Accordo, fornitura di strumenti di ricerca, personalizzazione dell'esperienza e prevenzione dell'harvesting. Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: per tutto il tempo ragionevolmente necessario, alcune informazioni di personalizzazione saranno conservate fino a quando un cliente o un utente non ne richiederà la cancellazione.

Per i trasferimenti a (sotto)trasformatori, specificare anche l'oggetto, la natura e la durata del trattamento:

  • Oggetto: Nome, cognome, indirizzo e-mail, informazioni di autenticazione, informazioni di ricerca, note di ricerca
  • Natura del trattamento: La natura del trattamento comprende i seguenti aspetti: archiviazione dei dati e fornitura di software, gestione del consenso, adempimento delle richieste di diritti degli interessati. Per informazioni complete sulle modalità di trattamento dei dati da parte di specifici subprocessori, consultare anche l'Allegato III, Elenco dei subprocessori.
  • Durata: continua

C. AUTORITÀ DI VIGILANZA COMPETENTE

L'autorità di vigilanza competente, ai sensi della Clausola 13, è l'Autorità di vigilanza irlandese.


SCHEMA II: Misure tecniche e organizzative Comprese le misure tecniche e organizzative per garantire la sicurezza dei dati

EBSCO manterrà e utilizzerà misure di sicurezza appropriate per impedire l'accesso o l'utilizzo non autorizzato dei Dati Personali del Cliente e per implementare misure di sicurezza amministrative, fisiche e tecniche per proteggere i Dati Personali del Cliente. Tali salvaguardie includono:

  1. Sicurezza delle reti e delle applicazioni e gestione delle vulnerabilità:
    1. Misure di pseudonimizzazione e crittografia dei dati personali: i dati personali vengono crittografati a riposo utilizzando l'Advanced Encryption Standard (AES-256) a 256 bit e in transito utilizzando la crittografia Transport Layer Security (TLS). La gestione delle chiavi crittografiche è conforme allo standard 800-57 del National Institute of Science and Technology (NIST).
    2. Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione: EBSCO si impegna costantemente a certificare gli standard ISO (International Organization for Standardization) pertinenti, compresi gli standard ISO 27001, 27017, 27018 e 27701 sia in sede che nei centri dati gestiti da Amazon Web Services (AWS). EBSCO è ospitata sia all'interno della piattaforma Amazon Web Services che nei centri dati legacy on premise a Ipswich, MA e Boston, MA. Le applicazioni e i dati sono distribuiti per garantire un'elevata disponibilità e resilienza. Sono state implementate funzioni come il recupero automatico e il ridimensionamento automatico. Se necessario, le applicazioni e la loro configurazione di container possono essere distribuite nuovamente in pochi minuti.
    3. Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico: tutte le applicazioni e i dati sono distribuiti su più nodi e i nodi sono distribuiti su più zone di disponibilità all'interno di Amazon Web Services per garantire un'elevata disponibilità del servizio. L'uso di un'architettura basata su container contribuisce ulteriormente a garantire un'elevata disponibilità del servizio. Ad esempio, le applicazioni si riavviano automaticamente se riscontrano problemi e se un nodo specifico si guasta, viene rimosso dal servizio e il traffico viene indirizzato verso i restanti nodi "sani". Ove opportuno, i nodi sono impostati per scalare automaticamente per gestire picchi di traffico imprevisti. Le riunioni periodiche di gestione del servizio esaminano le prestazioni e le esigenze future di capacità del servizio. L'infrastruttura consente di implementare lo scaling orizzontale e verticale con tempi significativamente ridotti rispetto a un'infrastruttura fisica.

      Per il nostro legacy on premise, EIS impiega due data center simultanei con capacità di failover nel caso in cui uno dei siti subisca un'interruzione. I centri dati EBSCO in sede sono protetti da gruppi di continuità, sistemi antincendio e accesso limitato solo al personale necessario per il funzionamento dei centri dati.

      EBSCO monitora costantemente la disponibilità del servizio. Lo stato attuale è disponibile qui: https://status.ebsco.com/

    4. Processi per testare, stimare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento: EBSCO commissiona a terzi test di penetrazione su base annuale. Inoltre, le scansioni delle vulnerabilità sono condotte attraverso una pipeline di distribuzione automatica del codice. Il nostro ambiente di produzione viene sottoposto a scansioni continue. Impieghiamo un team operativo di sicurezza gestito 24 ore su 24, 7 giorni su 7, per monitorare costantemente il nostro ambiente. EBSCO applica regolarmente aggiornamenti di sicurezza al proprio ambiente seguendo il proprio processo di gestione delle vulnerabilità. Questi aggiornamenti vengono effettuati su base continuativa utilizzando lo Scaled Agile Framework for Enterprises (SAFe).

      Le misure organizzative vengono riesaminate due volte l'anno, attraverso un audit interno e un audit esterno condotto su base annuale da revisori terzi accreditati. Inoltre, vengono effettuate regolarmente revisioni degli accessi ai dati e ai sistemi sensibili.

      EBSCO valuta continuamente la sicurezza della sua rete e dei Servizi associati per determinare se siano necessarie misure di sicurezza aggiuntive o diverse per rispondere ai rischi di sicurezza o alle scoperte generate dalle revisioni periodiche.

    5. Misure per la protezione dei dati durante la trasmissione: tutti i dati sono criptati in transito utilizzando il protocollo TLS, sia dal browser degli utenti alle applicazioni, sia i dati in transito tra i sistemi EBSCO e i subprocessori.
    6. Misure per la protezione dei dati durante l'archiviazione: i dati personali vengono crittografati a riposo utilizzando l'Advanced Encryption Standard (AES-256) a 256 bit. L'archiviazione dei dati è isolata da Internet da un firewall dedicato per garantire che solo il personale EBSCO possa accedere al database.
    7. Misure per garantire la configurazione del sistema, compresa la configurazione predefinita: le configurazioni di sistema standardizzate vengono applicate attraverso pipeline di distribuzione del codice automatizzate, ove opportuno.
    8. Misure per la governance e la gestione interna dell'IT e della sicurezza IT: il team Governance Risk and Compliance (GRC) di EBSCO gestisce il sistema di Information Security and Privacy Management (ISPMS) di EBSCO. L'ISPMS viene continuamente monitorato e migliorato per essere conforme o superare gli standard richiesti dalle norme ISO 27001, ISO 27701, ISO 27017 e ISO 27108. L'ISPMS di EBSCO è composto dal sistema di gestione della sicurezza delle informazioni ISMS e dal sistema di gestione delle informazioni sulla privacy PIMS. Gli audit esterni e interni dell'ISPMS vengono eseguiti su base annuale. I registri di sicurezza vengono monitorati continuamente.
    9. Misure per la certificazione/assicurazione di processi e prodotti: oltre alle misure per la gestione interna dell'IT e per la governance della sicurezza IT di cui sopra, viene erogata una formazione regolare e obbligatoria attraverso una piattaforma di apprendimento online per garantire che tutto il personale abbia familiarità con le proprie responsabilità e sia aggiornato su politiche e procedure. Sono in atto processi chiari per gestire gli incidenti legati alla sicurezza e per mettersi in contatto con le forze dell'ordine, se necessario.
    10. Misure per garantire la minimizzazione dei dati: EBSCO segue le migliori pratiche per ridurre al minimo gli attributi dei dati, limitandoli a quelli necessari per svolgere le funzioni richieste, e per consentire ai clienti e agli utenti di estendere il set minimo di dati predefiniti, se necessario.
    11. Misure per garantire la qualità dei dati: le istituzioni e gli utenti finali hanno la possibilità di rivedere e aggiornare le proprie informazioni attraverso un modulo self-service o contattando EBSCO in base all'Informativa sulla privacy. Laddove applicabile, nel nostro ambiente vengono implementati controlli di convalida dei dati.
       
  2. Controlli di accesso logici:
    1. Misure per l'identificazione e l'autorizzazione degli utenti: un piccolo numero di membri del team EBSCO con responsabilità di amministrazione e supporto del sistema ha accesso all'ambiente di produzione e ai database. L'accesso è strettamente controllato per ruolo e richiede l'autenticazione a due fattori.

      L'accesso dell'amministratore del cliente ai dati dell'utente finale è possibile solo utilizzando un account di amministratore EBSCOadmin. Solo il personale designato dal cliente e un piccolo numero di utenti privilegiati di EBSCO hanno accesso a queste informazioni.

      I clienti hanno la possibilità di impostare diverse opzioni di autenticazione. Le opzioni includono, ma non si limitano a, l'integrazione tramite Single Sign On (SSO) utilizzando SAML 2.0, nome utente e password, autenticazione IP whitelist, patron ID, Google Campus Activated Subscriber Access (CASA), Universal CASA e cookie.

  3. Controlli sicuri per lo smaltimento dei supporti:
    1. Misure per garantire una conservazione limitata dei dati: è fondamentale che i dati personali conservati all'interno dei sistemi EBSCO soddisfino i requisiti per la privacy e la protezione dei dati, e parte di ciò consiste nel garantire che i dati personali non vengano conservati oltre quanto necessario per lo scopo definito.

      In molti casi, EBSCO consente ai clienti di anonimizzare i dati dell'utente finale mediante una configurazione SSO pseudonimizzata o rimuovendo l'opzione di personalizzazione per gli utenti patroni.
    2. Misure per consentire la portabilità dei dati e garantire la cancellazione: su richiesta o tramite il modulo self-service, i clienti EBSCO possono estrarre i rapporti sull'utilizzo del database, i rapporti sull'utilizzo dell'interfaccia, i rapporti sull'attività dei collegamenti, i rapporti sull'utilizzo del login e i rapporti sull'utilizzo dei titoli. Questi dati possono essere ottenuti su richiesta al momento della risoluzione del contratto o in qualsiasi momento tramite EBSCOadmin.
       
  4. Controlli di registrazione:
    1. Misure per garantire la registrazione degli eventi: EBSCO consente ai clienti di visualizzare i rapporti sull'uso del database, i rapporti sull'uso dell'interfaccia, i rapporti sull'attività dei link, i rapporti sull'uso del login e i rapporti sull'uso dei titoli attraverso EBSCOadmin.

      EBSCO utilizza log di Security Information and Event Management (SIEM) in tutte le sue risorse. Questi registri sono monitorati internamente dal nostro team di sicurezza informatica e dal centro operativo di sicurezza (SOC) gestito 24/7. Non è richiesta alcuna azione da parte del cliente e i clienti non hanno accesso a questi registri interni.

  5. Controlli sul personale: i contratti per il nuovo personale e il processo di onboarding sottolineano le responsabilità individuali per la sicurezza delle informazioni e le potenziali sanzioni in caso di abuso. Le dimissioni del personale attivano un processo automatico per garantire che i diritti di accesso ai sistemi di EBSCO siano revocati in modo tempestivo.

    L'accordo di utilizzo accettabile dell'IT riguarda l'utilizzo accettabile delle risorse informative di EBSCO. Viene distribuito sia al personale a tempo indeterminato che a quello a contratto e fa parte dell'induzione dei nuovi assunti.

    La formazione sulla sicurezza viene erogata attraverso la piattaforma di formazione online di EBSCO. Viene consegnato almeno una volta all'anno ed è obbligatorio per tutti i dipendenti.
     
  6. Sicurezza fisica e controlli ambientali:
    1. Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali: EBSCO si impegna a garantire la sicurezza dei propri dipendenti, collaboratori e beni e prende molto seriamente la questione della sicurezza fisica. EBSCO dispone di una serie completa di controlli di sicurezza fisica che assicurano che i suoi centri dati e uffici siano sufficientemente protetti. L'accesso ai centri dati è limitato solo al personale necessario e tutti gli accessi vengono registrati e controllati per individuare eventuali anomalie

      EBSCO stipula inoltre contratti con AWS per l'elaborazione dei dati dei clienti. AWS offre una sicurezza di prim'ordine all'interno dei suoi data center ospitati. Per ulteriori informazioni sulla sicurezza fisica negli ambienti ospitati da AWS, consultare: https://aws.amazon.com/compliance/data-center/controls/.
       

SCHEDA III: Elenco dei subprocessori

MODULO DUE: Trasferimento del controllore al processore

Il titolare del trattamento è stato informato dell'utilizzo dei seguenti subprocessori che possono essere utilizzati al momento dell'esecuzione del contratto.