Il 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE”) ha emesso la sua decisione riguardo il caso C-311/18, conosciuto anche come Schrems II. La decisione della CGUE ha confermato la validità delle Clausole Contrattuali Tipo (Standard Contractual Clauses, SCC) della Commissione europea per i soggetti titolari del trattamento e responsabili del trattamento e ha invalidato il quadro di riferimento dello scudo privacy UE-US come meccanismo per trasferire i dati personali dall’UE agli USA. La decisione richiede che le organizzazioni che gestiscono trasferimento di dati personali verso Paesi terzi svolgano una valutazione prima di effettuare il trasferimento in conformità con le SCC per assicurare che ai soggetti interessati sia dato un livello di protezione “essenzialmente equivalente” a quello garantito all’interno dell’Unione Europea (“UE”) dal GDPR. Se questo livello di protezione non può essere raggiunto affidandosi solo alle SCC, allora l’organizzazione che esporta i dati deve implementare “misure supplementari” per proteggere tali dati personali esportati ad uno standard “essenzialmente equivalente”.
1. Questa decisione, come influenza l’uso dei servizi da parte dei clienti Zendesk?
Zendesk offre ai propri clienti delle scelte in materia di privacy. Zendesk ha ottenuto l’approvazione per le sue Norme vincolanti d’impresa (Binding Corporate Rules, “BCRs”) come responsabile e titolare del trattamento dei dati dei suoi clienti, il che garantisce ai nostri clienti un robusto meccanismo di facilitazione del trasferimento di dati personali dall’UE a membri della famiglia di aziende Zendesk durante l’uso dei nostri servizi. Sono disponibili maggiori informazioni nel nostro comunicato stampa, disponibile qui e nel nostro sito sulla Protezione della Privacy e dei dati, disponibile qui. L’Accordo di trattamento dei dati di Zendesk (“DPA”) include sia le SCC sia le BCR di Zendesk. Alla luce della decisione della CGEU e delle linee guida in arrivo ed anticipate dal Comitato europeo per la Protezione dei Dati e dalla Commissione europea, abbiamo rivisto i nostri accordi di trasferimento dei dati con i nostri sub-responsabili del trattamento e confermiamo che meccanismi validi di trasferimento sono già in atto. Una lista aggiornata dei sub-responsabili del trattamento è disponibile qui.
Se avete al momento un DPA con Zendesk, potete continuare ad usare il servizio Zendesk in conformità con la legge europea. La decisione della corte Schrems II non cambia la vostra possibilità di trasferire i dati tra l’UE e gli Stati Uniti nell’ambito del Servizio. Notare anche che né la decisione CGUE né il GDPR richiedono che voi manteniate i dati personali in UE. Se siete un cliente attuale e richiedete un DPA, potete accedere al modulo come necessario nella vostra console di amministrazione del cliente, o cliccare qui, con un collegamento che vi porterà al nostro DPA.
2. Accesso governativo ai dati personali contenuti negli account dei clienti
Nella sua decisione, la CGUE ha determinato che le organizzazioni che si basano sulle SCC e/o sulle BCR devono assicurare che i soggetti i cui dati personali sono trasferiti verso un Paese terzo in conformità con le clausole contrattuali tipo devono avere un livello di protezione che sia essenzialmente equivalente a quello garantito entro l’UE dal GDPR. La corte ha specificato che le organizzazioni devono valutare se possono o meno trasferire i dati personali sulla base delle SCC o delle BCR tenendo in considerazione le circostanze dei trasferimenti e qualsiasi altra misura supplementare che un’organizzazione possa mettere in atto. Zendesk ha una policy e processi interni ben definiti per le richieste governative riguardanti informazioni sui nostri clienti, che sono in linea con le regole 12A e 12B della nostra Policy di elaborazione BCR. Zendesk avviserà il cliente interessato della richiesta, a meno che non sia proibito dalla legge o non ci sia un’indicazione chiara ed ovvia di condotta illegale o rischio di danni. Confermiamo ulteriormente che non abbiamo implementato alcuna backdoor o altri metodi nei nostri servizi per permettere alle autorità governative di aggirare le nostre misure di sicurezza ed avere accesso ai Dati Personali negli Account dei clienti.
3. Misure supplementari – Crittografia dei dati dei clienti
Zendesk ha solide pratiche di sicurezza dei dati per proteggere i dati dei propri clienti, come descritto nel nostro Sito sulla sicurezza di Zendesk, inclusa la crittografia:
- (i) Crittografia in transito. I dati di servizio, che possono includere i Dati Personali, sono crittografati in transito sulle reti pubbliche quando comunicano con le interfacce utente Zendesk (UI) e le interfacce di programma delle applicazioni (API) attraverso lo standard industriale HTTPS/TLS (TLS 1.2 o superiore). Le eccezioni alla crittografia in transito (come quando si usa un servizio di terze parti che non supporti la crittografia) sono dettagliate nel nostro sito web sulla sicurezza disponibile qui;
(ii) Crittografia a riposo. I dati di servizio, che possono includere i Dati Personali, sono crittografati a riposo dal sub-responsabile del trattamento di Zendesk e dai servizi gestiti/fornitore di hosting, Amazon Web Services Inc., via AES-256.
- (iii) Zendesk inoltre permette certificati generati dal cliente per i dati in transito usando la funzione Host Mapping sul proprio account: maggiori informazioni sono disponibili qui.
Fin dalla nostra istituzione, l’approccio di Zendesk è rimasto ancorato a un forte impegno in favore di privacy, sicurezza, conformità e trasparenza. La Privacy è un processo continuo, e in Zendesk rimaniamo impegnati a proteggere e rendere sicuri i dati dei nostri clienti. Se avete ulteriori domande, contattate il vostro account manager.