Panoramica sulle richieste di dati

Questo testo tradotto è fornito solo a scopo informativo e in caso di incongruenze tra questa versione e quella inglese, prevale quest’ultima.

Slack si impegna a garantire fiducia e trasparenza

Nei seguenti documenti e domande frequenti, puoi trovare le nostre linee guida e i nostri criteri relativi alle richieste di dati da parte di enti governativi e forze dell’ordine, ma anche alle richieste di dati da parte di enti civili di terze parti. Puoi anche trovare i nostri report annuali sul numero di richieste che riceviamo, così come le relative risposte.

Criteri per la richiesta di dati

Nell’ambito del nostro impegno a garantire fiducia e trasparenza, i Criteri per la richiesta di dati descrivono i criteri e le procedure di Slack in merito alle risposte alle richieste di Dati del cliente. I presenti criteri determinano le procedure relative alle richieste di dati di terze parti, alle richieste da parte di autorità giudiziarie, alla comunicazione per i Clienti e alle richieste internazionali di dati.

Report sulla trasparenza

Salesforce pubblica annualmente informazioni sulle richieste da parte delle forze dell’ordine e degli enti governativi che le aziende di Salesforce, tra cui Slack, hanno ricevuto nell’anno di calendario precedente. Questi report sulla trasparenza contengono i principi guida di Salesforce per mantenere la riservatezza dei clienti, il numero di richieste ricevute ogni anno e i dati relativi alle risposte. I report sulla trasparenza degli anni precedenti sono disponibili nell’Archivio legale di Slack.

Domande frequenti

In che modo Slack gestisce le richieste da parte di enti governativi e forze dell’ordine?

Slack è un’area di lavoro online e una piattaforma per la produttività, come descritto nell’Informativa sulla privacy e nelle Condizioni d’uso. Se riceviamo un valido procedimento legale da parte di un ente governativo o delle forze dell’ordine, potremmo avere l’obbligo di fornire i dati degli utenti in conformità con le leggi applicabili. I nostri Criteri per la richiesta di dati delineano i requisiti relativi a tali richieste, mentre il Report sulla trasparenza mostra il tipo e il volume delle richieste che riceviamo ogni anno da parte di enti governativi e forze dell’ordine.

Dove dovrei inviare il procedimento legale?

Tutte le richieste da parte di enti governativi e forze dell’ordine (inclusi enti governativi e forze dell’ordine internazionali) possono essere inviate al nostro alias e-mail per i procedimenti legali: legalprocess@slack.com

Che genere di informazioni è necessario affinché Slack possa elaborare la mia richiesta?

Oltre ai necessari e applicabili requisiti legali, ogni richiesta per un procedimento legale deve includere le seguenti informazioni: (a) l’ente governativo o l’ente di rappresentanza delle forze dell’ordine, (b) il procedimento penale o civile pertinente e (c) le informazioni identificative relative all’area di lavoro di Slack, inclusi i nomi dei Clienti e degli Utenti pertinenti, l’intervallo di date, l’URL dell’area di lavoro di Slack (nomeslack.slack.com) e il tipo di dati cercati. La richiesta deve inoltre provenire da un indirizzo e-mail governativo e includere le informazioni di contatto complete del funzionario richiedente.

Cosa succede quando Slack riceve una richiesta da parte delle forze dell’ordine?

Esaminiamo attentamente tutte le richieste per verificarne la fondatezza e garantire la privacy dell’utente. Slack ha il diritto di respingere o contestare le richieste non chiare, non abbastanza specifiche o inappropriate.

Con quale frequenza Slack fornisce dati a enti governativi e forze dell’ordine?

Il nostro Report sulla trasparenza descrive nel dettaglio il numero di richieste che riceviamo ogni anno. Il report corrente riguarda il periodo che va dal 1° gennaio al 31 dicembre 2019 e specifica il numero di ingiunzioni, mandati e altre richieste di dati ricevute nel corso del periodo sopraindicato. Il report include inoltre il tipo di informazioni che forniamo, compresi sia i dati relativi a contenuto sia quelli che non lo sono.

Slack presta assistenza alle autorità governative e alle forze dell’ordine nel condurre attività di sorveglianza delle comunicazioni?

Slack non conduce attività di sorveglianza dei clienti in tempo reale né fornisce volontariamente a enti governativi l’accesso ai dati sugli utenti per scopi di sorveglianza. Leggi il nostro Report sulla trasparenza per scoprire di più.

Slack può ricevere ordini per attività di sorveglianza “a monte” o di massa ai sensi del FISA § 702?

No. Come tutte le piattaforme di comunicazione negli Stati Uniti, Slack è un servizio di comunicazioni elettronico (ECS) o servizio di connessione a distanza (RCS), come definito rispettivamente nelle Sezioni 2510 e 2711 del Titolo 18 del Codice degli Stati Uniti d’America, dal momento in cui offre servizi ai clienti. È quindi possibile che il governo degli Stati Uniti possa notificare a Slack una direttiva mirata ai sensi del FISA § 702.

Slack non può tuttavia ricevere ordini per attività di sorveglianza “a monte” ai sensi del FISA § 702. Dato che il governo degli Stati Uniti ha applicato il FISA § 702, ricorre a ordini per attività “a monte” soltanto relativamente al traffico che scorre attraverso fornitori di dorsali Internet che veicolano il traffico per terze parti. Consulta l’Autorità per la tutela della vita privata e delle libertà civili (Privacy and Civil Liberties Oversight Board) e il Report sulla relazione di sorveglianza operato in base alla Sezione 702 del Foreign Intelligence Surveillance Act (2 luglio 2014) pp. 35-40, disponibili all’indirizzo https://fas.org/irp/offdocs/pclob-702.pdf. Slack non offre tali servizi di dorsali Internet, in quanto si limita a veicolare il traffico relativo ai suoi clienti. Di conseguenza, non può ricevere il tipo di ordine descritto principalmente nella decisione Schrems II e ivi ritenuto problematico.

Slack assiste le autorità statunitensi nella raccolta in massa di informazioni ai sensi dell’Ordine esecutivo 12333?

Slack non fornisce assistenza alle autorità statunitensi che conducono attività di sorveglianza ai sensi dell’Ordine esecutivo 12333. Inoltre, l’Ordine esecutivo 12333 non fornisce al governo statunitense la possibilità di richiedere assistenza alle aziende relativamente a tali attività e Slack non intende farlo volontariamente. Di conseguenza, Slack non agisce e non può essere costretto ad agire in modo tale da agevolare attività di sorveglianza di massa ai sensi dell’Ordine esecutivo 12333.

In che modo Slack protegge i dati in movimento e i dati inattivi?

Slack utilizza una serie di misure tecniche e organizzative per impedire tentativi di intercettazione, sorveglianza o accesso non autorizzato ai dati in movimento. Per esempio, Slack crittografa tutti i trasferimenti di dati per impedirne l’acquisizione da parte di terzi, quali autorità governative che potrebbero ottenere l’accesso fisico ai meccanismi di trasmissione mentre i dati sono in movimento. Slack utilizza soltanto trasporto dei dati sicuro attraverso TLS 1.2 tramite HTTPS. Questa funzione è sempre abilitata per limitare la possibilità di terze parti di manomettere o accedere ai trasferimenti di dati tra le due parti interessate (Slack e i suoi clienti).

La nostra area di lavoro Enterprise Key Management offre un’ulteriore protezione grazie alla creazione di un registro di controllo immutabile in modo che il cliente sia avvisato ogni volta che viene effettuato l’accesso ai dati. L’atto di conservare o produrre contenuto EKM genererebbe una voce rilevabile nel registro degli accessi a disposizione del Cliente. I Clienti possono anche revocare chiavi di crittografia per impedire l’accesso a contenuti non crittografati.

L’approvazione del CLOUD Act statunitense influenza il modo in cui Slack risponde alle richieste di natura giuridica da parte del governo degli Stati Uniti?

No. Il CLOUD Act, promulgato nel 2018, ha precisato la portata geografica delle richieste da parte delle forze dell’ordine statunitensi e ha creato un fondamento giuridico per aziende come Slack per contestare richieste che siano in conflitto con la legge straniera in determinate circostanze. Il CLOUD Act non ha modificato le forme esistenti di tutela giuridica né di tutela della privacy accordate ai dati degli utenti e Slack applica le medesime procedure di revisione rigorose a tutti i procedimenti legali notificati su tali basi, inclusi quelli emessi ai sensi del CLOUD Act.

Che genere di dati potrebbero essere divulgati in risposta a un procedimento legale da parte di enti governativi o forze dell’ordine?

I dati di contenuto includono i dati generati dall’utente, ad esempio messaggi pubblici e privati, post, file e messaggi diretti. Slack richiede un mandato di perquisizione per presentare tali dati alle forze dell’ordine.

I dati non relativi a contenuto includono informazioni di base sull’account (come nome e indirizzo e-mail, informazioni del profilo, informazioni di registrazione, cronologia di accesso e informazioni di fatturazione) e altri metadati non relativi a contenuto (come data, ora e mittente/destinatario di messaggi o file). In base al tipo di dati richiesti, Slack potrebbe richiedere un’ingiunzione obbligatoria o un’ordinanza del tribunale per fornire tali dati.

Qual è la differenza tra un mandato di perquisizione, un’ordinanza del tribunale e un’ingiunzione delle forze dell’ordine?

Un mandato di perquisizione è una richiesta emessa da un giudice o da un magistrato in seguito all’accertamento di una probabile causa. Un mandato di perquisizione è necessario per ottenere il contenuto delle comunicazioni.

Un’ordinanza del tribunale è quando un tribunale constata che l’ente governativo ha dimostrato fondati motivi per ritenere che l’informazione cercata sia rilevante e materiale per un’indagine penale in corso. Gli enti governativi possono ottenere dati e metadati di base non relativi a contenuto riguardo a un’area di lavoro attraverso un’ordinanza del tribunale, ma non possono ottenere il relativo contenuto.

Un’ingiunzione delle forze dell’ordine è una richiesta vincolante emessa da un ente governativo per la produzione di una serie limitata di informazioni, quali il nome del Cliente, l’indirizzo, la durata del servizio o i mezzi e le fonti del pagamento, a supporto di un’indagine penale autorizzata.

È possibile che enti governativi e/o forze dell’ordine possano ottenere dati eliminati da Slack?

Generalmente no. A meno che i dati eliminati siano conservati dal Cliente in base alle sue impostazioni di conservazione, i dati vengono rimossi dai sistemi di Slack appena vengono eliminati. Una volta eliminati, tali dati potrebbero trovarsi nei nostri backup di sicurezza per un periodo di tempo limitato (fino a 14 giorni, ma spesso meno). Al termine del periodo di backup, Slack elimina tutte le informazioni dai sistemi di produzione. Quando i dati sono completamente eliminati, Slack non può recuperarli per alcuna finalità, neppure per rispondere a richieste da parte di enti governativi e forze dell’ordine.

In che modo Slack gestisce le richieste di emergenza?

Se ti trovi in una situazione di emergenza che comporta rischio di morte o gravi conseguenze fisiche e credi che Slack sia in possesso di dati necessari per attenuare tali rischi, il personale autorizzato delle forze dell’ordine è invitato a contattarci all’indirizzo legalprocess@slack.com e procederemo a esaminare la richiesta.

Slack informa i Clienti prima di fornire dati a enti governativi o forze dell’ordine?

Fatto salvo il caso in cui la legge vieti a Slack di farlo o in cui vi sia una chiara indicazione di comportamento illecito o rischio di danno, Slack informerà il Cliente, generalmente inviando un’e-mail al proprietario principale, prima di divulgare i dati, in modo che il Cliente possa cercare rimedi giuridici.

E per quanto riguarda le richieste di dati da parte di terze parti o enti civili?

Terze parti in cerca di dati sono invitate a contattare direttamente il proprietario dell’area di lavoro di Slack. Quando possibile, incoraggiamo le parti a gestire le richieste senza il nostro coinvolgimento. Il proprietario dell’area di lavoro dovrebbe essere in grado di eseguire esportazioni per soddisfare richieste di natura giuridica appropriate. Se dovesse aver bisogno di assistenza relativamente a tali esportazioni, il proprietario principale può contattarci per capire se può eseguire l’esportazione per necessità giuridiche.

Lo Stored Communications Act, 18 del Codice degli Stati Uniti d’America § 2701 e seguenti, vieta severamente a un provider quale Slack di divulgare i contenuti delle comunicazioni a terze parti. Un’ingiunzione civile o un’ordinanza del tribunale civile non sono sufficienti ai sensi dello Stored Communications Act per ricavare contenuti da un’area di lavoro di Slack.