Trasferimenti internazionali dei dati

Scopo

Smartsheet Inc. (insieme alle sue affiliate, “Smartsheet”) si impegna a rispondere alle preoccupazioni e alle esigenze dei suoi clienti in termini di privacy e sicurezza dei dati personali. Lo scopo di questa pagina è approfondire la posizione di Smartsheet in merito ai trasferimenti internazionali di dati personali e fornire garanzie riguardo alle prassi di gestione dei dati di Smartsheet insieme ai suoi servizi e applicazioni online, inclusi qualsiasi software scaricabile correlato (“Offerte”), siti web, compreso www.smartsheet.com (“Siti”), e operazioni aziendali generali.

Questa pagina non offre alcuna consulenza legale. Smartsheet consiglia di rivolgersi a un consulente legale per familiarizzare con i regolamenti e le leggi che normano ogni specifica situazione. 

Ruoli dei dati di Smartsheet

Come accade per molte applicazioni Software-as-a-Service, Smartsheet opera in due modi riguardo ai dati personali: come titolare del trattamento dei dati e come responsabile del trattamento dei dati.

In qualità di titolare del trattamento dati, Smartsheet raccoglie dati tecnici, statistici e appresi o altri dati di utilizzo insieme a informazioni su pagamento, fatturazione e altri dettagli sull’account riguardo all’acquisto e all’uso delle Offerte e dei Siti. L’Informativa sulla privacy di Smartsheet è una comunicazione destinata ai singoli sui modi specifici utilizzati da Smartsheet per raccogliere, utilizzare, condividere e altrimenti trattare tali dati personali per le sue legittime finalità commerciali.

Per i dati, le immagini, i file e altro contenuto caricato o inviato alle Offerte Smartsheet (“Contenuti dei clienti”), Smartsheet funge da responsabile del trattamento dati. I clienti che richiedono termini espliciti per il trattamento dei dati personali presenti nei Contenuti dei clienti possono optare per la stipula di un Data Processing Addendum (Addendum sul trattamento dei dati), (“DPA”), con Smartsheet. Il DPA, in relazione al contratto che disciplina l'uso delle Offerte da parte del cliente e della legge applicabile, limita i modi in cui Smartsheet può trattare i Contenuti dei clienti ed è la rappresentazione scritta delle istruzioni del cliente per Smartsheet in materia di trattamento dei dati.
 

Attività primarie di trattamento dei dati

Sebbene Smartsheet abbia istituito piani e sedi internazionali per continuare la sua espansione internazionale, mantiene le sue operazioni principalmente negli Stati Uniti, dove ha la sede centrale. Perciò, in qualità di titolare del trattamento dati, Smartsheet può trasferire i dati sull’utilizzo e le informazioni sull’account raccolti a sistemi e personale ubicati negli Stati Uniti per le sue operazioni commerciali generali. Inoltre, in qualità di responsabile del trattamento dati, Smartsheet può accedere ai Contenuti dei clienti ospitati in qualsiasi Regione Smartsheet dagli Stati Uniti per supportare e mantenere le offerte dei clienti stessi. 

Ecco alcune delle attività principali di trattamento dati condotte da Smartsheet negli Stati Uniti:

  • in qualità di titolare del trattamento dati, per operazioni commerciali generali e altre finalità commerciali legittime, come indicato in dettaglio qui per i dati raccolti durante l’interazione tra l’utente e Smartsheet o i Siti, e qui per i dati raccolti sull’uso delle Offerte; e
  • in qualità di responsabile del trattamento dati, che ospita il servizio, l’assistenza tecnica, i servizi professionali e la progettazione, e solo nella misura consentita dal contratto tra utente e Smartsheet che disciplina le Offerte. 
Illustration of a lock on top of a world map

Cos’è un trasferimento internazionale di dati personali? 

Un trasferimento internazionale di dati personali (“Trasferimento internazionale”) avviene quando i dati suddetti vengono resi disponibili al di fuori dello Spazio economico europeo (“EEA”). Il Trasferimento internazionale può includere l’archiviazione di dati personali in un paese al di fuori dell’EEA ma anche l’accesso ai dati personali archiviati nell’UE da parte di sub-responsabili situati all’esterno dell'EEA (ad esempio per servizi di assistenza). 

Cosa sono le Clausole contrattuali standard della Commissione europea?

Le Clausole contrattuali standard della Commissione europea (“SCC”) sono contratti legali stipulati tra le parti che trasferiscono dati personali UE al di fuori dell’UE in paesi privi di protezione dei dati adeguata o equivalente. Le clausole contrattuali standard iniziali per i trasferimenti da titolare del trattamento dati a responsabile del trattamento dati sono state redatte e approvate dalla Commissione europea nel 2010. A seguito della decisione Schrems II, la Commissione europea ha redatto nuove clausole contrattuali standard per incorporare i requisiti del GDPR e la decisione Schrems II.  Le nuove SCC sono state oggetto di consultazione fino al 10 dicembre del 2020 e la loro versione finale è stata pubblicata il 7 giugno 2021.  La Commissione europea concede alle aziende un periodo di transizione di 18 mesi per implementare le nuove SCC nei contratti esistenti.  Il DPA aggiornato di Smartsheet incorpora le nuove SCC recentemente adottate.

Invitiamo i clienti con contratti meno recenti, che non includono riferimenti alle SCC o che contengono una versione precedente delle SCC, a rivedere il DPA aggiornato. Se è stata determinata la necessità di un DPA aggiornato con Smartsheet, è possibile inviare un modulo per l’accettazione dei termini del DPA qui.  Con l’invio del modulo, una copia del DPA verrà indirizzata via DocuSign al firmatario autorizzato indicato nel modulo. Dopo la firma, una copia verrà inviata anche al mittente del modulo ai fini di archiviazione.

Map with multiple locations highlighted

Quale meccanismo usa Smartsheet per trasferire i dati personali?

In qualità di Titolare del trattamento dati Come indicato nell’Informativa sulla privacy, Smartsheet è il titolare del trattamento dei dati raccolti da Smartsheet.  Conformemente al GDPR e ai nostri obblighi come titolari del trattamento dei dati, abbiamo in essere degli accordi contrattuali interaziendali appropriati che includono le Clausole contrattuali standard ("SCC") per il trasferimento legittimo dei dati tra le organizzazioni.

In qualità di Responsabile del trattamento dati A seguito della decisione Schrems II, Smartsheet ha aggiornato il suo DPA per incorporare le SCC come meccanismo di trasferimento legale. Come accennato in precedenza, di recente Smartsheet ha aggiornato il proprio DPA per incorporare l’ultima versione delle SCC. Se è stata determinata la necessità di un DPA con Smartsheet, è possibile inviare un modulo per l’accettazione dei termini del DPA qui.  Con l’invio del modulo, una copia del DPA verrà indirizzata via DocuSign al firmatario autorizzato indicato nel modulo. Dopo la firma, una copia verrà inviata anche al mittente del modulo ai fini di archiviazione. 

Dove sono ospitate le Offerte? 

I clienti hanno la possibilità di selezionare il luogo in cui verranno ospitati i loro contenuti. Consulta il nostro Trust Center o la pagina sulle Differenze regionali per ulteriori informazioni. Smartsheet continua a ricercare opzioni per altre posizioni di hosting dei dati. Non esitare a inviare una richiesta di miglioramento dei prodotti Smartsheet per una regione o paese in particolare che vorresti disponesse di questo servizio in futuro. 

Condivisione dei dati personali - Ai sensi delle leggi vigenti

Come indicato nella sua Informativa sulla privacy, Smartsheet può condividere dati personali ai sensi delle leggi vigenti conformemente a un procedimento legale valido, come un mandato di comparizione o una procedura fallimentare.

Al ricevimento di una richiesta di accesso o di conservazione dei dati personali, incluse le richieste provenienti dalla sicurezza nazionale o da altre forze dell'ordine, Smartsheet si opporrà, nei limiti consentiti dalla legge, a tale richiesta e avviserà il cliente a cui si riferiscono i dati. Tuttavia, in alcuni casi, Smartsheet potrebbe avere l’obbligo legale di condividere tali dati nel rispetto di un ordine giuridico valido senza doverne dare notifica ai clienti. In ogni caso, procederemo nel rispetto degli obblighi di riservatezza indicati nel contratto che disciplina l’uso delle Offerte da parte del cliente (ossia, le “Condizioni di divulgazione” del Contratto di utilizzo). 

 

Condivisione dei dati personali - A fornitori di servizi e infrastrutture terze parti 

Come indicato nell’Informativa sulla privacy, Smartsheet può condividere dati personali con i nostri fornitori di servizi e infrastrutture. Smartsheet si avvale solo di fornitori terze parti che abbiano dimostrato lo stesso impegno nel proteggere i dati personali dei nostri clienti e che soddisfino o superino le nostre aspettative in materia di privacy e di trattamento dei dati dei fornitori. Inoltre, per i fornitori qualificati come “sub-responsabili” nel GDPR, Smartsheet ha verificato che siano in essere garanzie e obblighi contrattuali appropriati per proteggere i dati personali e adempiere agli obblighi previsti dalla legge. L’elenco degli attuali sub-responsabili di Smartsheet è disponibile qui.

In tutti i casi, se Smartsheet condivide dati personali con un fornitore terza parte, agisce in base a un contratto valido che include obblighi di protezione dei dati appropriati e, in caso di trasferimento dei dati al di fuori dell’EEA, le SCC. 

 

Accesso degli enti pubblici – Solo se imposto dalla legge

Talvolta, Smartsheet potrebbe ricevere una richiesta di accesso ai contenuti di proprietà di un cliente da parte di un ente pubblico o un’autorità di contrasto. Quando riceviamo questo tipo di richieste, il nostro obiettivo è proteggere i nostri clienti, pur sempre nel rispetto delle leggi vigenti. Provvederemo a informare il cliente interessato, a meno che non ci sia espressamente proibito per legge. Ove possibile, suggeriremo all’ente pubblico richiedente di rivolgersi direttamente al cliente interessato. Smartsheet non è titolare dei Contenuti dei clienti, per cui siamo fermamente convinti che qualsiasi ente pubblico che richieda di accedere a questo tipo di contenuti dovrebbe rivolgersi direttamente al cliente, ove possibile.

Non forniamo accesso diretto ai Contenuti dei clienti, né li divulghiamo ad enti pubblici, tranne nei casi in cui ciò sia imposto dalla legge, e contestiamo qualsiasi richiesta illecita. Esaminiamo ogni richiesta governativa caso per caso, rispettandola solo se e nella misura in cui la riteniamo legittima. Quando esaminiamo la legittimità di una richiesta governativa, teniamo conto di tutte le leggi vigenti, incluse quelle di altre giurisdizioni, ove applicabile. Chiediamo agli enti pubblici di rispettare il procedimento legale imposto dalle leggi vigenti, come ad esempio emettere la richiesta tramite un ordine di comparizione, un’ordinanza del tribunale o un mandato di perquisizione. Laddove ritenessimo che una richiesta governativa di accesso ai contenuti dei clienti sia invalida o illegale, proveremmo a contestarla.

Con riferimento alle agenzie governative statunitensi, le SCC obbligano Smartsheet (in qualità di importatore di dati) ad avvisare tempestivamente l’esportatore di dati riguardo a qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche. Fino ad ora, Smartsheet non ha mai ricevuto un mandato FISA o una richiesta analoga per dati trattati da Smartsheet che violerebbero i suoi obblighi ai sensi delle SCC. 

Affiliate Smartsheet

Per semplificare le operazioni globali di Smartsheet, Smartsheet Inc. può trasferire dati personali in tutto il mondo e concederne l’accesso agli uffici affiliati situati in giurisdizioni internazionali. In caso di condivisione di dati personali tra affiliate Smartsheet, Smartsheet Inc. ha in atto una SCC per salvaguardare i dati suddetti e garantire l’esistenza di obblighi appropriati per la protezione dei dati tra le affiliate Smartsheet. Ulteriori informazioni sulle affiliate Smartsheet sono disponibili qui.

Informazioni e risorse supplementari

Inizia oggi.

Per saperne di più, contatta il tuo rappresentante di riferimento.

Contattaci