Trasferimenti di dati UE-USA dopo la sentenza Schrems II

Da Shanti Ariker, SVP, General Counsel and Maarten Van Horenbeeck, SVP & Chief Information Security Officer

Pubblicato 31 marzo 2022
Ultimo aggiornamento 31 marzo 2022

In Zendesk siamo fermamente convinti che la fiducia sia alla base di tutte le interazioni con i nostri clienti. Riconosciamo l'importanza della fiducia dei clienti, della loro privacy e della sicurezza dei loro dati. Le normative globali sulla privacy si stanno evolvendo rapidamente e noi siamo concentrati nel fornire gli strumenti di cui i nostri clienti hanno bisogno per consentire la conformità. In qualità di cliente, è importante capire come i fornitori utilizzano e proteggono i vostri dati. Ecco perché ci sforziamo di essere trasparenti sui Dati di servizio trattati dai nostri prodotti e servizi, se vi è un trasferimento internazionale di dati e quali rischi sono associati al tipo di dati o al trattamento in questione. A seguito della decisione Schrems II del luglio 2020, relativa alla legalità dei trasferimenti di dati transatlantici, abbiamo adottato le seguenti misure per consentire i trasferimenti transfrontalieri di dati personali in conformità con i requisiti UE sulla privacy:

Norme vincolanti d'impresa e Clausole contrattuali tipo

Forniamo Norme vincolanti d'impresa (BCR) dell'UE (“BCR”) sia per il Titolare del trattamento che per il Responsabile del trattamento the “gold standard” for international data transfers. Le BCR sono politiche di protezione dei dati a livello aziendale, che sono state approvate per i trasferimenti di dati dalla nostra autorità di protezione dei dati. Forniamo un accordo sul trattamento dei dati Data Processing Agreement (DPA), che incorpora le nostre BCR UE e le nuove Clausole contrattuali tipo (SCC) del giugno 2021. Il nostro DPA fornisce anche ulteriori salvaguardie all'Allegato II del nuovo DPA/SCCS, e fornisce dettagli sui nostri controlli di accesso al sistema, controlli di accesso ai dati, controlli di trasmissione e architettura e sicurezza di rete.

Guida alla valutazione dell'impatto del trasferimento

Forniamo inoltre una Guida alla valutazione dell'impatto del trasferimento per aiutarvi a conoscere i vostri trasferimenti e per permettervi di completare la valutazione e l'analisi dell'impatto sulla privacy richiesta caso per caso (su richiesta).

Relazione sulla trasparenza

Quando si tratta di controllo governativo, crediamo che le forze dell'ordine e le agenzie di sicurezza nazionale dovrebbero coinvolgere prima i clienti, piuttosto che i fornitori di servizi. Abbiamo ricevuto pochissime richieste da parte delle forze dell'ordine nel corso degli anni, come dettagliato nel nostro transparency report, che aggiorniamo ogni sei mesi. Non abbiamo costruito e non costruiremo nessun metodo di accesso alternativo e non autorizzato (c.d backdoor) per permettere alle autorità governative di aggirare le nostre misure di sicurezza.

Certificazioni

Ci sottoponiamo regolarmente all'autovalutazione e a test e certificazioni esterne e indipendenti. Le nostre certificazioni di sicurezza da parte di revisori terzi includono SOC 2 Tipo II, ISO 27001:2013 e ISO 27018:2014.

Opzioni di hosting dei dati regionali

Offriamo inoltre un modo per archiviare i vostri dati su base regionale. Avete l’opzione che i vostri dati di servizio per determinate funzionalità coperte siano ospitati negli Stati Uniti, nello Spazio economico europeo (SEE), in Giappone (JP) o in Australia (AU). Una descrizione completa di quali servizi possono essere ospitati nella regione scelta è disponibile nella nostra pagina regional data hosting policy .

Uno sguardo al futuro: La roadmap di Zendesk per le future funzionalità di fiducia

In questo contesto normativo in rapida evoluzione, ci stiamo impegnando a costruire caratteristiche aggiuntive per fornire un maggiore livello di protezione per i nostri clienti. Nel corso del 2022, Zendesk sta lavorando sulle seguenti funzionalità di privacy e protezione dei dati per supportare i clienti:

  • Crittografia “Bring your own key” (BYOK) che darà ai clienti la possibilità di crittografare i loro dati di servizio utilizzando il proprio sistema di gestione delle chiavi aziendale
  • Supporto della posizione dei data center per tutte le funzionalità di Agent Workspace
  • Miglioramento della cancellazione dei dati, del controllo degli accessi e delle funzioni di auditing sui dati dei clienti
  • Un'offerta per fornire assistenza clienti basata solo nell'UE, per limitare la posizione dei sostenitori dei clienti con accesso ai vostri dati di servizio

Zendesk si impegna a supportare i nostri clienti orientandoli in relazione a nuove normative sulla protezione dei dati e sulla privacy. Siamo incoraggiati dalle discussioni in corso tra la Commissione europea e il governo degli Stati Uniti per sviluppare un nuovo quadro per i dati personali degli europei che vengono trasferiti negli Stati Uniti. Domande? Contattate il vostro account executive Zendesk o il nostro team per la privacy all'indirizzo euprivacy@zendesk.com.

Per ulteriori informazioni sul nostro programma di privacy e sicurezza, si prega di consultare le seguenti risorse:
Schrems II – Frequently Asked Questions (FAQ) guide
Data processing addendum with new SCCs
Regional data hosting policy
Transparency report
How we protect your service data
Informazioni riguardo al Libro Bianco sulle Misure di sicurezza per il trasferimento di dati personali verso gli USA del Dipartimento del Commercio degli Stati Uniti.