Il 16 luglio 2020, la Corte di giustizia dell’Unione Europea (CGUE) ha pronunciato una sentenza in merito ai trasferimenti di dati dall’Unione Europea, denominata Sentenza Schrems II.

Riteniamo che i nostri clienti possano avere domande in merito al potenziale impatto della sentenza e ai passi che Freshworks sta intraprendendo per affrontarli. Cogliamo quindi l’occasione per anticipare e rispondere ad alcune delle domande più importanti all’interno di queste FAQ.

 

D: Cosa dice la sentenza Schrems II?

R: La CGUE ha invalidato il cosiddetto “EU-US Privacy Shield Framework” (Privacy Shield) quale strumento per favorire trasferimenti legittimi di dati personali al di fuori dello Spazio Economico Europeo (SEE), confermando tuttavia che lo strumento delle Clausole Contrattuali Tipo (CCT), così come approvate in precedenza dalla Commissione Europea, rimane valido.

La CGUE ha sottolineato che i titolari del trattamento devono assicurare misure di “garanzie adeguate” per fornire alle persone, i cui dati vengono trasferiti, un livello di protezione che sia “sostanzialmente equivalente” a quello garantito all’interno dell’Unione Europea (ai sensi del Regolamento Generale sulla Protezione dei Dati “GDPR” e alla Carta dei Diritti Fondamentali dell’Unione Europea). Le CCT rappresentano uno degli strumenti per fare ciò, nonostante in alcune situazioni siano necessarie “garanzie supplementari” (vedi sotto).

 

D: Cosa significa questo in merito ai trasferimenti di dati in favore di Freshworks che avvengono in base alla sua certificazione Privacy Shield?

R: La privacy è importante per Freshworks. Continuiamo a monitorare le indicazioni emesse dalle Autorità Europee per la Protezione dei Dati e dal Comitato Europeo per la Protezione dei Dati (un organismo che riunisce tutte le Autorità garanti all’interno dell’UE). Inoltre, siamo in attesa di altri chiarimenti da parte della Commissione Europea e del governo statunitense, che affrontino alcune ulteriori questioni sollevate dalla sentenza a livello politico.

Nel frattempo, tuttavia, la sentenza non impedisce di implementare le CCT come meccanismo legale di trasferimento dei dati. Freshworks sta quindi passando a fare affidamento su tali clausole per i propri trasferimenti di dati al di fuori del SEE verso gli Stati Uniti, e sta continuando a basarsi su di esse per altri trasferimenti di dati al di fuori del SEE.

Il nostro Addendum sul Trattamento dei Dati (o DPA) costituisce un’appendice alle CCT, e chiarisce che tali Clausole Contrattuali Tipo si applicano nei rapporti fra il nostro cliente (in qualità di esportatore) e Freshworks (in qualità di importatore) in relazione al trasferimento di qualsiasi dato personale dal SEE che non sia (o non sia più) soggetto ad una decisione di adeguatezza (come il Privacy Shield). Ora che i trasferimenti di dati personali negli Stati Uniti ai sensi del Privacy Shield non sono ritenuti adeguati, le CCT si applicano automaticamente in luogo del Privacy Shield ai sensi del nostro DPA.

Anche se lo strumento del Privacy Shield è stato invalidato con riferimento ai trasferimenti di dati personali dal SEE, Freshworks si impegna comunque a continuare a trattare i dati personali ricevuti dal SEE nel rispetto dei principi del Privacy Shield.

 

D: Quali altre misure sta intraprendendo Freshworks per assicurare “garanzie adeguate” ai dati europei?

R: La privacy è importante per Freshworks. Siamo costantemente impegnati ad assicurare la massima protezione di tutti i dati personali che trattiamo. Siamo in attesa di indicazioni da parte del Comitato Europeo per la Protezione dei Dati (EDPB) sulle misure supplementari che possano essere necessarie per assicurare le “garanzie adeguate” dei dati europei, ma nel frattempo desideriamo rendere noti i seguenti passi da noi già intrapresi.

1. Sicurezza dei dati

     a. Andiamo fieri delle nostre solide pratiche di sicurezza e riservatezza dei dati, che si evolvono continuamente per assicurare la protezione dei dati personali dei nostri clienti. Maggiori informazioni sul nostro ampio programma di sicurezza e design sono disponibili qui.

     b. Siamo certificati ISO 27001 e membri della Cloud Security Alliance. 

     c. Utilizziamo la crittografia AES a 256 bit con chiavi a 1024 bit per i dati inattivi, e la crittografia TLS conforme allo standard FIPS 140-2 per i dati in transito, che di conseguenza saranno accessibili a terze parti.

 2. Richieste da parte di Autorità

     a. Attuiamo politiche e processi rigorosi che garantiscono che i clienti vengano informati prontamente, come richiesto dalle clausole CCT, nel caso in cui ricevessimo una richiesta di esibizione dei dati dei clienti da parte delle Forze dell’Ordine o da altra autorità pubblica.

     b. Ai sensi delle nostre politiche e processi, diamo accesso ai dati alle Forze dell’Ordine solo quando siamo giuridicamente obbligati a farlo.

 

D: Ho ulteriori domande, a chi posso indirizzarle?

R: Ci auguriamo che queste FAQ siano utili per chiarire preoccupazioni immediate ma, per qualunque altra domanda, ti invitiamo a contattare il tuo responsabile clienti Freshworks o a scrivere a privacy@freshworks.com.