Per Service Data si intende qualsiasi informazione, i dati personali compresi, che vengono archiviati o trasmessi tramite i servizi di Zendesk, da, o per conto dei nostri clienti e dei loro utenti finali.

Dal punto di vista della privacy, il cliente è il titolare dei Service Data e Zendesk ne è il responsabile. Ciò significa che per tutto il tempo in cui un cliente è abbonato ai servizi di Zendesk, mantiene la proprietà e il controllo dei Service Data del proprio account.

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors is available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

La sicurezza dei dati è una priorità per Zendesk. Al fine di assicurare protezione continuativa ai dati di singoli clienti e aziende, combiniamo caratteristiche di sicurezza di livello aziendale con audit completi su nostre applicazioni, sistemi e reti.

Ad esempio, i server di Zendesk sono ospitati in strutture conformi agli standard Tier IV o III+, SSAE-16, PCI DSS, o ISO 27001. Invitiamo periodicamente esperti di sicurezza di terze parti a condurre meticolosi test di penetrazione, inoltre il nostro team di Supporto è disponibile 24/7 per rispondere a eventi e allerte di sicurezza.

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

I data center di Zendesk sono ubicati in tre principali regioni — Stati Uniti d’America, Asia Pacifico, e Unione Europea. I Service Data possono essere archiviati in qualsiasi regione. Acquistando il componente aggiuntivo Data Center Locality, i clienti possono scegliere la regione in cui sono localizzati i Data Center che ospitano alcuni dei loro Service Data. Per maggiori informazioni, consultare la Policy regionale di Data Hosting.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a Subscriber’s agreement with Zendesk.

Zendesk riconosce che privacy e sicurezza dei dati sono una priorità fondamentali per i clienti.

• Zendesk non divulga Service Data eccetto quando ciò non sia utile alla fornitura di propri servizi ai clienti o risponda a esigenze di legge, come specificato nelle nostre Norme sulla Privacy, consultabili qui.

• Zendesk ha conseguito numerose certificazioni e accreditamenti a livello internazionale che dimostrano la conformità ai quadri di garanzia di terze parti, illustrati nel nostro sito sulla sicurezza.

• Dove ci è richiesto di agire pubblicamente per proteggere i clienti, lo facciamo. Zendesk ha espresso il proprio sostegno all’USA Liberty Act che mira a riformare il programma di sorveglianza nella Sezione 702 del Foreign Intelligence Surveillance Act (“FISA”).

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

Il Regolamento generale sulla protezione dei dati ("RGPD") è il regolamento europeo sulla privacy dei dati che ha sostituito la Direttiva UE sulla protezione dei dati ("Direttiva 95/46/CE").Il RGPD regola il trattamento dei dati personali e la loro libera circolazione. Il RGPD mira a rafforzare la sicurezza e la protezione dei dati personali nell'area UE e ad armonizzare la legislazione dell'UE in materia di protezione dei dati. In generale, il Regolamento stabilisce una serie di principi e requisiti in materia di protezione dei dati da applicare al momento del trattamento di dati personali.

Il RGPD ha anche istituito il Comitato europeo sulla protezione dei dati ("CEPD"), che garantisce l’armonizzazione dell’applicazione della normativa sulla protezione dei dati in tutta l'UE e opera per garantire una cooperazione efficace tra le autorità per la protezione dei dati.

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

Uno degli aspetti chiave di RGPD è quello di omogeneizzare i processi di trattamento, utilizzo e scambio in sicurezza dei dati personali nei diversi Stati membri dell'UE.Le organizzazioni sono tenute a dimostrare la sicurezza dei dati che trattano e la propria conformità al RGPD su base continua, attuando e riesaminando periodicamente solide misure tecniche e organizzative, e politiche di conformità.

If Zendesk receives a data subject request from a Subscriber’s End-User (i.e., a user of the Services to whom a Subscriber has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our Subscriber (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without Subscriber’s prior consent.

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance:

• Applicazione geografica: RGPD può essere applicato alle organizzazioni residenti nell'UE e ad altre organizzazioni che, a seconda delle loro attività, pur residenti all’esterno dell’UE, trattano i dati personali di cittadini dell'Unione Europea.

• Diritti degli Utenti finali: Le organizzazioni devono essere consapevoli di chi sono gli Utenti finali i cui dati personali possono processare. RGPD conferisce maggiori diritti agli Utenti finali, e le organizzazioni dovrebbero essere in grado di soddisfare tali diritti.

• Notifiche di violazione dei dati personali: Le organizzazioni responsabile del trattamento dei dati personali devono porre in essere procedure trasparenti che soddisfino i requisiti di segnalazione della violazione dei dati entro i tempi stabiliti da RGPD. Nel caso in cui Zendesk venisse a conoscenza di una violazione dei dati in rapporto a sui suoi servizi, ne informerà i clienti interessati senza indebito ritardo.

• Nomina di un Consulente per la privacy (“DPO”): Potrebbe essere necessario che i clienti nominino un DPO (Data Protection Officer) per gestire eventuali problemi relativi al trattamento dei dati personali.

• Data Processing Agreement (“DPA”): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data.

• Valutazione d'impatto sulla protezione dei dati (“DPIA”): Le DPIA (Data Protection Impact Assessment) descrivono di solito le misure di protezione e i processi di trattamento dei dati, specialmente quelli potenzialmente rischiosi, delle organizzazioni. Per le attività di trattamento dei dati, i clienti devono condurre e presentare alle autorità preposte una DPIA.

I clienti possono utilizzare le certificazioni ISO e i rapporti di audit SOC 2 di terze parti di Zendesk per facilitare le proprie valutazioni di rischio e verificare se le misure tecniche e organizzative in atto sono appropriate. Per saperne di più, consultare il sito web sulla sicurezza di Zendesk.

Qui di seguito vengono riportati esempi di specifiche funzionalità del prodotto Zendesk capaci di assistere i clienti nell’attuazione del programma di conformità a RGPD. Attraverso il nostro "Advanced Security Deployed Associated Service", i clienti possono scegliere di usufruire di funzionalità migliorate, tra cui disaster recovery e crittografia avanzati, e la possibilità di configurazione per l’Health Insurance Portability and Accountability Act (“HIPAA”).

Le funzioni attualmente disponibili in specifici prodotti di Zendesk vengono descritte tra le domande/risposte qui di seguito.

Standard di auditing:

• Certificazione ISO 27001:2013

• Certificazione ISO 27018:2014

Scansione:

• Bug bounty

• Scansione dinamica di applicazioni live

• Scansione statica di repository di codici

Crittografia:

• Crittografia di dati in movimento su reti pubbliche

• Crittografia di specifici dati a riposo con AES (Advanced Encryption Standard)256

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

La Commissione Europea ha approvato una serie di disposizioni standard, denominate Clausole contrattuali standard ("Clausole tipo"), che forniscono a un titolare del trattamento dei dati un meccanismo conforme per trasferire dati personali a un responsabile del trattamento al di fuori dello Spazio Economico Europeo SEE. Le Clausole tipo sono allegate al DPA di Zendesk, contribuendo così a fornire un’adeguata protezione durante il trasferimento di dati all’esterno di SEE o Svizzera.

Zendesk replica periodicamente i dati per fini di archiviazione, backup e i registri di audit. Utilizziamo Amazon Web Services (AWS) per archiviare alcune delle informazioni sottoposte a backup, ad esempio informazioni di database e allegati file. Per maggiori informazioni, consultare la nostra Policy regionale di Data Hosting.

I clienti di Zendesk che acquistano il Data Center Location Deployed Associated Service ("componente aggiuntivo di localizzazione del Data Center") hanno la possibilità di scegliere la regione (fra le opzioni regionali disponibili di Zendesk) in cui è ubicato il Data Center che ospiterà i loro Service Data.Per maggiori informazioni, consultare la nostra Policy regionale di Data Hosting.In caso contrario, Zendesk può utilizzare uno qualsiasi dei suoi data center globali per ospitare i Service Data.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our Subscribers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our Subscribers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our Subscribers’ success.

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendesk’s customers’ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Yes, Zendesk’s DPA includes provisions to assist Subscribers with their GDPR compliance.

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

No. The Zendesk DPA is specific to Zendesk’s Services, privacy practices and representations made to regulators.

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a “Businesses” compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

If you would like to review and/or execute Zendesk’s CCPA Addendum to the Master Subscription Agreement, please click here.

For information on our privacy practices and the functionality we provide to support our Subscribers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including:

1. An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the business’s use of the information, and to whom the business disclosed the information it has collected about the consumer;
2. The consumer’s right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request;
3. The consumer’s right to have such personal information deleted (with exceptions);
4. The consumer’s right to know the business’ data sale practices and to request that their personal information not be sold to third parties;
5. A prohibition on businesses on discrimination for exercising a consumer right; and
6. An obligation on businesses to notify a consumer of their rights.

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our subscribers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

We do not “sell” our customer’s personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)—which is not considered personal information under the CCPA—with third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Le Regole Aziendali Vincolanti (“BCR”) sono politiche di protezione dei dati di livello aziendale approvate dalle autorità europee per la protezione dei dati che servono a facilitare il trasferimento intra-Gruppo dei dati personali all’interno dello Spazio Economico Europeo (“SEE”) verso Paesi al di fuori dello SEE. Le BCR si basano sui rigidi principi di privacy stabiliti dalle autorità di protezione dei dati dell'Unione Europea e richiedono un'intensa consultazione con tali autorità. I clienti possono trovare l'elenco completo delle entità approvate nell’Elenco delle Regole Aziendali Vincolanti Approvate, qui.

Sì, Zendesk ha completato il processo di approvazione UE delle proprie Regole Aziendali Vincolanti (BCR) globali presso il Commissario irlandese per la protezione dei dati (“DPC”, Irish Data Protection Commissioner) (in revisione paritaria con l'Ufficio del Commissario per le informazioni del Regno Unito e l’Autorità olandese per la protezione dei dati) globali in qualità di Responsabile e Titolare del trattamento dei dati. Questa significativa approvazione normativa convalida l'attuazione da parte di Zendesk dei più elevati standard possibili in materia di protezione dei dati personali a livello globale, sia in rapporto ai dati personali dei propri clienti che di quelli dei propri dipendenti.

Zendesk è una delle poche aziende di software al mondo ad aver ricevuto l'approvazione delle sue BCR; e la seconda ad aver ricevuto l'approvazione dal DPC irlandese.

Per accedere alle BCR di Zendesk, utilizzare i link pertinenti elencati qui di seguito:

– Regole Aziendali Vincolanti di Zendesk (che Zendesk applicano per il trattamento di dati personali per conto dei propri clienti); e

– Regole Aziendali Vincolanti di Zendesk per il Titolare Globale (che si applicano quando Zendesk tratta dati personali nel ruolo di Titolare del trattamento dei dati).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections offered by Zendesk to its Subscribers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

Il Dipartimento del commercio degli Stati Uniti, di concerto con la Commissione Europea e il governo svizzero, ha creato lo Scudo per la privacy UE-U.S. e lo Scudo per la privacy Svizzera-U.S. per fornire alle aziende un meccanismo per il trasferimento dei dati personali dall'Unione Europea agli Stati Uniti, in modo da garantire un adeguato livello di protezione nel quadro della normativa europea sulla protezione dei dati.

Zendesk ha certificato la propria conformità ai Framework dello Scudo per la privacy UE-U.S. e dello Scudo per la Privacy Svizzera-U.S. presso il Dipartimento del Commercio degli Stati Uniti, ed è stata perciò aggiunta all’elenco dei partecipanti auto-certificati allo Scudo per la privacy del Dipartimento del Commercio. Le nostre certificazioni confermano il rispetto dell’azienda per i Principi dello Scudo per la privacy in relazione al trasferimento di dati personali dall’Europa e dalla Svizzera verso gli Stati Uniti.

Si tratta di un'ottima notizia per i nostri clienti, che disporranno perciò di un meccanismo di trasferimento dati migliore rispetto ai precedenti Framework Safe Harbor U.S.-UE e Svizzera-U.S. Zendesk si è mossa rapidamente per adottare i principi dello Scudo per la privacy, coerentemente al costante impegno aziendale per la privacy e la protezione dei dati dei propri clienti.

• Report SOC 2 Tipo II

• Report SOC3

• ISO 27001:2013 Certificazione

• ISO 27018:2014 Certificazione

• Elenco delle entità approvate per lo Regole Aziendali Vincolanti

• Elenco delle entità approvate per lo Scudo per la privacy

• Tutela della privacy TrustArc

• In che modo Zendesk protegge i dati personali

• Zendesk Aderisce Agli Standard Più Elevati Di Protezione Dei Dati Con L'Approvazione Delle Norme Aziendali Vincolanti Europee

• Zendesk Privacy Policy

• Politica di Cancellazione dei dati di Zendesk

• Pagina di sicurezza Zendesk

• Best Practice Zendesk per la sicurezza

• Report SOC2

• Report SOC3

• ISO 27001:2013 Certificazione

• ISO 27018:2014 Certificazione

• Master Subscription Agreement Zendesk

• Sito web dello Scudo per la privacy del Dipartimento del Commercio degli Stati Uniti: https://www.privacyshield.gov/welcome.

• Direttiva 95/46/CE: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Regolamento Generale sulla Protezione dei Dati (RGPD): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• International Association of Privacy Professionals: https://iapp.org.

• “Prepararsi a RGPD” dell’Ufficio del commissario all’informazione (Information Commissioner's Office) del Regno Unito ”: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.