VALUTAZIONE DELL'IMPATTO DEL TRASFERIMENTO DEI DATI
Panoramica
Il presente documento fornisce informazioni per aiutare i clienti iSpring a condurre valutazioni d'impatto sul trasferimento di dati in relazione al loro uso di prodotti e servizi iSpring (collettivamente, Prodotti), alla luce della sentenza “Schrems II” della Corte di giustizia per l'Unione europea e delle raccomandazioni del Comitato europeo per la protezione dei dati.
In particolare, il presente documento descrive i regimi giuridici applicabili a iSpring negli Stati Uniti, le garanzie che iSpring prevede in relazione ai trasferimenti di dati personali dei clienti dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera (“Europa”) e la possibilità di iSpring di adempiere ai suoi obblighi di “importatore di dati” ai sensi delle clausole contrattuali standard (“CCS”).
Fase 1: Conoscere il trasferimento.
Qualora iSpring elabori dati personali disciplinati dalle leggi europee sulla protezione dei dati in qualità di titolare (per conto dei nostri clienti), iSpring adempie ai suoi obblighi ai sensi del suo contratto sul trattamento dei dati (di seguito “CTD”).
Il CTD di iSpring incorpora i CCS e fornisce le seguenti informazioni:
- descrizione del trattamento dei dati personali dei clienti da parte di iSpring; e
- descrizione delle misure di sicurezza di iSpring;
Si prega di fare riferimento al CTD per informazioni sulla natura delle attività di trattamento di iSpring in relazione alla fornitura dei Prodotti, i tipi di dati personali dei clienti che trattiamo e trasferiamo e le categorie di soggetti. Possiamo trasferire i dati personali dei clienti ovunque noi o i nostri fornitori di servizi terzi operino allo scopo di fornire i Prodotti ai Clienti. Le sedi dipenderanno dai particolari Prodotti iSpring utilizzati dai Clienti, come indicato nel grafico seguente.
| Prodotto iSpring | In quali Paesi iSpring conserva i dati personali dei clienti? | In quali Paesi iSpring tratta (ad esempio, accede, trasferisce o gestisce in altro modo) i dati personali dei clienti? |
| iSpring Learn | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Suite Max | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Market | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Presenter | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| Free Quiz Maker | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Presenter Pro | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Quiz Maker | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Cam Pro | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
| iSpring Free | Irlanda (Dublino), Germania (Francoforte) | Stati Uniti d'America |
Fase 2: Identificazione dello strumento di trasferimento.
Qualora i dati personali provenienti dallo Spazio economico europeo siano trasferiti a iSpring, iSpring si avvale delle CCS della Commissione europea per fornire un'adeguata protezione al trasferimento. Quando i dati personali dei clienti provenienti dallo Spazio Economico Europeo, vengono trasferiti da iSpring a sottoprocessori terzi, iSpring stipula con questi ultimi un contratto per le CCS.
Fase 3: Identificazione delle leggi e dei regolamenti applicabili alla luce del trasferimento.
3.1 Leggi di sorveglianza degli Stati Uniti
3.2 FISA 702 e ordine esecutivo 12333
Le seguenti leggi statunitensi sono state identificate dalla Corte di giustizia dell'Unione europea nella causa Schrems II come potenziali ostacoli alla garanzia di una protezione sostanzialmente equivalente dei dati personali negli Stati Uniti:
- Sezione FISA 702 (“FISA 702”) - consente alle autorità governative statunitensi di imporre la divulgazione di informazioni su persone non statunitensi situate al di fuori degli Stati Uniti ai fini della raccolta di informazioni di intelligence estera. Questa raccolta di informazioni deve essere approvata dal Tribunale di Sorveglianza dei Servizi Segreti Esteri di Washington. I fornitori che rientrano nell'ambito di applicazione del FISA 702 sono i fornitori di servizi di comunicazione elettronica (“FSCE”) ai sensi di 50 U.S.C. § 1881(b)(4), che possono includere i fornitori di servizi di elaborazione remota (“FSER”), ai sensi di 18 U.S.C. § 2510 e 18 U.S.C. § 2711.
- Ordine esecutivo 12333 (“EO 12333”) - autorizza le agenzie di intelligence (come l'Agenzia per la sicurezza nazionale degli Stati Uniti) a condurre attività di sorveglianza al di fuori degli Stati Uniti. In particolare, fornisce alle agenzie di intelligence statunitensi l'autorità di raccogliere informazioni straniere di “intelligence dei segnali”, ovvero informazioni raccolte da comunicazioni e altri dati trasmessi o accessibili via radio, cavo e altri mezzi elettromagnetici. Ciò può includere l'accesso ai cavi sottomarini che trasportano dati Internet in transito negli Stati Uniti. L'EO 12333 non si basa sull'assistenza obbligatoria dei fornitori di servizi, ma sembra invece basarsi sullo sfruttamento delle vulnerabilità nelle infrastrutture di telecomunicazione.
Per i dettagli sull'implementazione, vedere le garanzie sulla privacy degli Stati Uniti relative alle CCS e ad altre basi giuridiche dell'UE per i trasferimenti di dati tra l'UE e gli Stati Uniti dopo Schrems II ( (https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF).)1
3.3 Legge statunitense sul cloud
Il Clarifying Lawful Overseas Use of Data (CLOUD) Act ha modificato Electronic Communications Privacy Act (ECPA), la legge statunitense che disciplina le modalità con cui le forze dell'ordine possono ottenere le informazioni in possesso di alcune aziende tecnologiche, compresi i fornitori di servizi cloud.
La legge CLOUD si compone di due parti. La prima parte chiarisce che gli ordini emessi in base all'attuale quadro normativo dell'ECPA possono raggiungere i dati indipendentemente dal luogo in cui sono memorizzati. La seconda parte crea un nuovo quadro per gli accordi tra governi per disciplinare le richieste transfrontaliere di applicazione della legge.2.
FISA 702 ed EO 12333 si applicano ad iSpring?
iSpring, come la maggior parte delle società SaaS, potrebbe tecnicamente essere soggetta al FISA 702. Tuttavia, iSpring non tratta dati personali che possano interessare le agenzie di intelligence statunitensi.
Fase 4: Identificazione delle misure tecniche, contrattuali e organizzative applicate per proteggere i dati trasferiti.
4.1 I misuratori tecnici iSpring sono tenuti a predisporre adeguate misure tecniche e organizzative per la tutela dei dati personali (sia nell'ambito del Contratto sul trattamento dei dati, sia nelle CCS da noi stipulate con clienti, fornitori di servizi). Per i misuratori tecnici consultare i servizi Web iSpring in allegato: Panoramica dei processi di sicurezza.
4.2 Misuratori contrattuali
Le misure contrattuali sono incorporate nel CTD di iSpring. Requisiti principali:
- Misure tecniche: iSpring è obbligata per contratto a mettere in atto misure tecniche e organizzative adeguate per salvaguardare i dati personali (sia nell'ambito del Contratto sul trattamento dei dati, sia nell'ambito delle CCS stipulate con clienti, fornitori di servizi e fornitori).
- Trasparenza: iSpring è obbligata ai sensi delle CCS ad avvisare i propri clienti nel caso in cui sia sottoposta a una richiesta di accesso governativo ai dati personali dei clienti da parte di un'autorità governativa. Nel caso in cui a iSpring sia legalmente vietato effettuare tale divulgazione, iSpring è contrattualmente obbligata a contestare tale divieto e chiedere una deroga.
- Azioni per contestare l'accesso: ai sensi delle CCS, iSpring è tenuta a riesaminare la legittimità delle richieste di accesso delle autorità governative e a contestare tali richieste qualora siano considerate illegittime.
4.3 Misuratori organizzativi
- Trasferimenti successivi: ogni volta che condividiamo i dati dell'Utente con soggetti affiliati a iSpring, siamo responsabili nei Suoi confronti per l'uso che ne viene fatto. Richiediamo a tutti i nostri fornitori e venditori di sottoporsi a un accurato processo di “dovuta diligenza”.
- Privacy per design: L'informativa sulla privacy di iSpring delinea l'approccio iSpring alla privacy.
- Per l'elaborazione dei dati ci avvaliamo dell'aiuto di sottoprocessori. Di seguito è disponibile un elenco di tutti i nostri sottoprocessori di dati:
| Nome | Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi subprocessori): | Indirizzo |
| 1. SendGrid, Inc. | Servizi e-mail | 889 Winslow St, Redwood City, CA 94063, USA |
| 2. Amazon Web Services, Inc. | Centro dati | 410 Terry Avenue North, Seattle, WA 98109-5210 |
| 3. Ringcentral, Inc | Servizi di comunicazione |
20 Davis Dr, Belmont, CA 94002, USA |
| 4. First Colo GmBH | Centro dati | Kruppstraße 105, 60388 Francoforte sul Meno, Germania |
| 5. Avoxi, Inc. | Servizi di comunicazione | 1000 Circle 75 Parkway, Suite 500, Atlanta GA 30339, USA |
| 6. Telephonic Solutions OU | Servizi di comunicazione | Harju maakond, Tallinn, Kesklinna linnaosa, Narva mnt 5, 10117, Estonia |
| 7. Liquid Web, LLC | Centro dati | 2703 Ena Dr. Lansing, MI 48917, US |
| 8. Leaseweb USA, Inc. | Centro dati | 9301 Innovation Drive / Suite 100 Manassas, VA 20110 |
Fase 5: Misure procedurali necessarie per attuare misure complementari efficaci.
Tenendo conto delle misure tecniche, contrattuali e organizzative che iSpring ha messo in atto per proteggere i dati personali dei clienti, iSpring ritiene che i rischi connessi al trasferimento e al trattamento dei dati personali europei negli Stati Uniti non pregiudichino la nostra capacità di adempiere agli obblighi previsti dalle CCS (in qualità di “importatore di dati”) o di garantire la tutela dei diritti delle persone.
Fase 6: Rivalutazione a intervalli appropriati.
iSpring riesaminerà e, se necessario, riconsidererà i rischi connessi e le misure che ha implementato per affrontare l'evoluzione delle normative sulla privacy e i rischi associati ai trasferimenti di dati personali al di fuori dello Spazio Economico Europeo, del Regno Unito e della Svizzera (“Europa”).
1 Per quanto riguarda FISA 702, il Libro bianco osserva: “Per la maggior parte delle aziende è improbabile che si applichino le preoccupazioni relative all'accesso ai dati aziendali da parte della sicurezza nazionale evidenziate da Schrems II, in quanto i dati che gestiscono non sono di interesse per la comunità dei servizi segreti degli Stati Uniti”. Le aziende che trattano “informazioni commerciali ordinarie, come i registri dei dipendenti, dei clienti o delle vendite, non avrebbero alcuna base per credere che le agenzie di intelligence statunitensi cerchino di raccogliere tali dati”. Esiste una possibilità di risarcimento individuale, anche per i cittadini dell'UE, per le violazioni della sezione 702 del FISA attraverso misure non affrontate dalla Corte nella sentenza Schrems II, comprese le disposizioni FISA che consentono azioni private per danni compensativi e punitivi. Per quanto riguarda l'ordine esecutivo 12333, il Libro bianco osserva che l'EO 12333 non “autorizza di per sé il governo degli Stati Uniti a richiedere a qualsiasi azienda o persona di divulgare dati”. Invece, l'EO 12333 deve basarsi su uno statuto, come il FISA 702, per raccogliere dati. La raccolta di dati in massa, il tipo di raccolta di dati in questione in Schrems II, è espressamente vietata dall'EO 12333.
2 Il Libro bianco sottolinea che: La legge CLOUD consente al governo statunitense di accedere ai dati nelle indagini penali solo dopo aver ottenuto un mandato approvato da un tribunale indipendente basato sulla probabile causa di un atto criminale specifico. La legge CLOUD non consente l'accesso al governo degli Stati Uniti nelle indagini di sicurezza nazionale e non permette la sorveglianza di massa.