Policy sulle richieste di dati per enti pubblici

1. Introduzione

1.1 La presente Policy sulle richieste di dati da parte del governo definisce la procedura di Zendesk per 1) la valutazione preventiva dei requisiti esistenti nei paesi terzi per la divulgazione dei dati personali o delle misure che autorizzano l'accesso da parte delle autorità pubbliche; e 2) rispondere a una richiesta ricevuta da un’applicazione della legge o da un’altra autorità governativa (di seguito denominata “Autoritàrichiedente”) di divulgare i dati personali elaborati da Zendesk (di seguito “Richiesta di divulgazione dei dati”), in linea con le nostre Regole aziendali vincolanti: Procedura di richiesta di dati governativi. La policy definisce anche la procedura di notifica di Zendesk per i casi in cui siamo venuti a conoscenza di un accesso diretto (ad es. accesso ai dati personali senza previa richiesta e/o approvazione/collaborazione da parte di Zendesk) da parte delle forze dell’ordine o di altre autorità governative ai dati personali elaborati da Zendesk (di seguito “Accesso diretto”), in linea con le nostre Regole aziendali vincolanti: Procedura di richiesta di dati governativi.

1.2 Quando Zendesk riceve una richiesta di divulgazione dei dati, la gestirà in conformità con la presente policy. Se le leggi sulla protezione dei dati applicabili richiedono uno standard di protezione dei dati personali più elevato di quanto richiesto da questa policy, Zendesk rispetterà i requisiti pertinenti di tali leggi sulla protezione dei dati applicabili.

2. Valutazione preliminare

2.1 Prima di effettuare trasferimenti internazionali di dati personali soggetti ai requisiti della presente Politica del titolare del trattamento e/o del responsabile del trattamento, Zendesk effettuerà una valutazione delle leggi e delle pratiche del paese terzo di destinazione in merito ai requisiti delle richieste di divulgazione dei dati o alle misure che autorizzano l’accesso diretto (anche in transito), che potrebbero impedire a Zendesk di adempiere ai propri obblighi ai sensi della rispettiva Politica del titolare del trattamento/responsabile del trattamento, come pratiche che non rispettano l’essenza dei diritti e delle libertà fondamentali e superano quanto necessario e proporzionato in una società democratica, in quanto nonché le limitazioni e le salvaguardie applicabili. Tale valutazione è effettuata alla luce delle circostanze specifiche del trasferimento e di qualsiasi trasferimento successivo previsto (inclusi finalità, ubicazione e settore in cui hanno luogo il trasferimento e il relativo trattamento, tipi di soggetti coinvolti nel trattamento, categorie/ formato dei dati personali trasferiti e dei canali di trasmissione utilizzati) e determinare se sono necessarie ulteriori garanzie contrattuali, tecniche o organizzative (durante la trasmissione dei dati personali o inattivi). La valutazione (e le misure di sicurezza, a seconda dei casi) saranno comunicate dai membri del team privacy a tutti i membri del gruppo. Zendesk monitorerà ragionevolmente gli sviluppi futuri delle leggi del Paese di destinazione per valutare, se del caso, l’impatto che tali modifiche potrebbero avere sulla valutazione iniziale effettuata. I membri del gruppo che agiscono in qualità di importatori di dati ai sensi della presente Politica del titolare del trattamento e/o del responsabile del trattamento devono comunicare ragionevolmente le modifiche di cui vengono a conoscenza ai membri del gruppo/clienti che agiscono in qualità di esportatori di dati e al membro del gruppo SEE con responsabilità delegate in materia di protezione dei dati.

2.2 Laddove Zendesk ritenga che debbano essere messe in atto ulteriori salvaguardie per affrontare i risultati della valutazione di cui al paragrafo 2.1, Zendesk informerà il membro del gruppo SEE pertinente con responsabilità delegate in materia di protezione dei dati e i membri pertinenti del Consiglio per la privacy o del team per la privacy più ampio saranno coinvolti, al fine di riflettere le loro opinioni in merito a tali salvaguardie.

2.3 Zendesk documenterà tale valutazione come indicato al paragrafo 2.1 e le misure aggiuntive di cui al paragrafo 2.2 e le metterà a disposizione dell'autorità di vigilanza competente su richiesta.

2.4 Tuttavia, se Zendesk ha stabilito che sono necessarie misure supplementari efficaci per adempiere ai propri obblighi ai sensi della rispettiva Policy del titolare del trattamento/responsabile del trattamento, non è stata in grado di identificarne alcuna o, se richiesto dall’autorità di vigilanza competente, il team privacy si impegna a sospendere i trasferimenti pertinenti (inclusi trasferimenti per i quali la stessa valutazione e lo stesso ragionamento porterebbero alla stessa conclusione) e ne informano tutti i membri del gruppo coinvolti. A seguito di tale sospensione, le entità che esportano dati personali ai sensi della presente Politica del titolare del trattamento e/o del responsabile del trattamento possono porre fine a tale trasferimento di dati personali e i dati personali, che non erano soggetti alle protezioni sufficienti previste dalla Politica del titolare del trattamento/responsabile del trattamento, possono essere restituiti all’entità esportatrice e/o o distrutto.

3. Principio generale sulle richieste di divulgazione dei dati

3.1 In linea di principio, Zendesk non divulga dati personali in risposta a una richiesta di divulgazione dei dati a meno che:

• ha l'obbligo legale di fornire tale divulgazione; o

• tenendo conto della natura, del contesto, delle finalità, dell'ambito e dell'urgenza della richiesta di divulgazione dei dati e dei diritti e delle libertà alla privacy delle persone interessate, esiste il rischio imminente di gravi danni che meritano in ogni caso la conformità con le richieste di divulgazione dei dati.

3.2 Per tale motivo, a meno che non sia legalmente vietato farlo o vi sia il rischio imminente di gravi danni, Zendesk avviserà e si consulterà con le autorità competenti per la protezione dei dati (e, quando tratta i dati personali per conto di un cliente, il cliente) per rispondere alla richiesta di divulgazione dei dati.

4. Gestione di una richiesta di divulgazione dei dati

4.1 Se un membro del gruppo Zendesk riceve una richiesta di divulgazione dei dati, il destinatario della richiesta deve trasmetterla all’ufficio legale immediatamente dopo averla ricevuta, indicando la data in cui è stata ricevuta insieme a qualsiasi altra informazione che possa aiutare il team legale a rispondere alla richiesta . Allo stesso modo, se un membro del gruppo Zendesk viene a conoscenza dell’accesso diretto, lo comunica immediatamente al team legale, indicando la data in cui si è verificato insieme a qualsiasi altra informazione che possa aiutare il team legale a rispondere in linea con questa policy.

4.2 Non è necessario che la richiesta dell’autorità richiedente sia presentata per iscritto, presentata in base a un’ingiunzione del tribunale o menzionata la legge sulla protezione dei dati per qualificarsi come richiesta di divulgazione dei dati. Qualsiasi richiesta di divulgazione dei dati, in qualsiasi modo, deve essere notificata al team legale per la revisione.

4.3 Il team legale di Zendesk esaminerà attentamente ogni richiesta di divulgazione dei dati e ogni accesso diretto caso per caso. Il team legale si metterà in contatto con il team per la privacy e con un consulente esterno, a seconda dei casi, per determinare la natura, il contesto, le finalità, l’ambito e l’urgenza della richiesta di divulgazione dei dati/dell’accesso diretto e la sua validità ai sensi delle leggi e dei principi di cortesia internazionale applicabili, per identificare se può essere necessaria un’azione per impugnare la richiesta di divulgazione dei dati/l’accesso diretto, anche presentando ricorso all’autorità richiedente e/o chiedendo misure cautelari al fine di sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non abbia deciso in merito nel merito o richiedendo altrimenti la divulgazione ai sensi della legge procedurale applicabile, a seconda dei casi, e/o di informare il cliente e/o le autorità competenti per la protezione dei dati in conformità al paragrafo 4.

5. Avviso di richiesta di divulgazione dei dati/accesso diretto

5.1 Avviso al cliente

5.1.1 Se una richiesta riguarda dati personali per i quali un cliente è il titolare del trattamento, Zendesk chiede di norma all’autorità richiedente di inoltrare la richiesta di divulgazione dei dati direttamente al cliente interessato. Se l’autorità richiedente è d’accordo, Zendesk assisterà il cliente in conformità con i termini del suo contratto per rispondere alla richiesta di divulgazione dei dati.

5.1.2 Se ciò non è possibile (ad esempio perché l’autorità richiedente si rifiuta di inoltrare la richiesta di divulgazione dei dati direttamente al cliente o perché non conosce l’identità del cliente), Zendesk avviserà e fornirà al cliente i dettagli della divulgazione dei dati Richiedi prima di divulgare dati personali, a meno che non sia proibito dalla legge o quando esiste un rischio imminente di danni gravi che vieta la notifica preventiva.

5.1.3 Se Zendesk viene a conoscenza di un Accesso diretto relativo a dati personali di cui un cliente è il titolare del trattamento, Zendesk lo notificherà e fornirà al cliente i dettagli di tale Accesso diretto, a meno che non sia vietato dalla legge o in caso di rischio imminente di grave esiste un danno che vieta tale notifica.

5.2 Avviso alle autorità competenti per la protezione dei dati

5.2.1 Se l’autorità richiedente si trova in un Paese che non fornisce un livello adeguato di protezione dei dati personali in relazione a tale richiesta, in conformità con le leggi sulla protezione dei dati applicabili, Zendesk sospenderà anche la richiesta per notificare e consultare le autorità competenti per la protezione dei dati, a meno che non sia vietato dalla legge o laddove esista un rischio imminente di danni gravi che vieta la notifica preventiva.

5.2.2 Se le forze dell’ordine o altra autorità governativa che ha effettuato un accesso diretto si trova in un Paese che non fornisce un livello adeguato di protezione dei dati personali in relazione a tale richiesta, in conformità con le leggi sulla protezione dei dati applicabili, Zendesk avviserà e consulterà anche le autorità competenti per la protezione dei dati, a meno che non sia vietato dalla legge o laddove esista un rischio imminente di danni gravi che vieta la notifica preventiva.

5.2.3 Laddove a Zendesk sia vietato informare le autorità competenti per la protezione dei dati e/o sospendere la richiesta, Zendesk farà del suo meglio (tenendo conto della natura, del contesto, delle finalità, dell’ambito e dell’urgenza della richiesta) per informare il richiedente. Autorità/autorità che ha eseguito l’accesso diretto in merito ai propri obblighi ai sensi della legge applicabile in materia di protezione dei dati e di ottenere il diritto di rinunciare a tale divieto. Tali sforzi possono includere la richiesta all’autorità richiedente o all’autorità richiedente che ha effettuato l’accesso diretto di sospendere la richiesta, in modo che Zendesk possa consultarsi con le autorità competenti per la protezione dei dati, o di consentire la divulgazione a personale specifico presso il cliente Zendesk, e può anche: in circostanze appropriate, includere un’ingiunzione del tribunale in tal senso. Zendesk conserverà, e su ragionevole richiesta, fornirà ai propri clienti e alle autorità competenti per la protezione dei dati una registrazione scritta degli sforzi compiuti, in linea con le pratiche consolidate di conservazione dei record aziendali, a meno che non sia vietato dalla legge.

6. Report sulla trasparenza

6.1 Zendesk si impegna a preparare un report semestrale ("Rapporto sulla trasparenza"), che rifletta il numero e il tipo di richieste di divulgazione dei dati ricevute nei sei mesi precedenti, in quanto potrebbe essere limitato dalla legge applicabile o da un'ingiunzione del tribunale. Zendesk pubblicherà il report sulla trasparenza sul proprio sito web e lo renderà disponibile su richiesta alle autorità competenti per la protezione dei dati.

7. Trasferimenti in blocco

7.1 In nessun caso i membri del gruppo trasferiranno dati personali a un'autorità richiedente in modo massiccio, sproporzionato e indiscriminato che vada oltre quanto necessario in una società democratica.

Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.

Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.