Guida alle richieste da parte di enti governativi

Ultimo aggiornamento: 8 aprile 2024

 

Zoom supporta lo scambio libero e aperto di pensieri e idee. Siamo orgogliosi di facilitare lo svolgimento di conversazioni importanti e collaborazioni professionali in tutto il mondo.  A causa del nostro impegno per la privacy, la protezione e la sicurezza degli utenti, Zoom sottopone a un attento esame tutte le richieste della Pubblica amministrazione, quindi non risponderemo alle richieste governative che non avranno superato la revisione.

 

Zoom Communications, Inc. ("Zoom"), fornisce queste linee guida alle forze dell'ordine e alle agenzie della pubblica amministrazione che richiedono informazioni privilegiate non pubbliche sui clienti di Zoom. Le presenti linee guida non si applicano alle richieste per i dati dei clienti presentate da qualsivoglia altro soggetto diverso dalle forze dell'ordine o dalle agenzie della pubblica amministrazione, incluse le parti di una controversia civile e di una controversia penale.

 

Per un rapido riferimento, consulta i link che seguono, offrono istruzioni specifiche per le diverse località.

Come inoltrare una richiesta

Le forze dell'ordine e gli enti pubblici devono presentare tutte le domande e le richieste di informazioni o di conservazione (e relative estensioni) attraverso il nostro Law Enforcement Response System (LERS), disponibile qui.

Requisiti per tutte le giurisdizioni

Le richieste devono:

  • Essere in inglese;
  • Essere in formato .pdf, tranne in determinate situazioni d'emergenza;
  • Rivolgersi a Zoom Communications, Inc., 55 Almaden Boulevard, 6° piano, San Jose, CA 95113 USA, per le richieste di informazioni su Meetings, o a Zoom Voice Communications, Inc. allo stesso indirizzo per le richieste di informazioni sulle chiamate Zoom Phone;
  • Provenire da un indirizzo e-mail ufficiale della pubblica amministrazione.
  • Devono contenere:
    • il nome dell'agente richiedente,
    • il nome dell'agenzia richiedente,
    • il badge/codice di identificazione dell'agente richiedente,
    • l'indirizzo e-mail, emesso dal governo, dell'agente richiedente,
    • il numero di telefono (incluso l'interno) dell'agente richiedente,
    • l'indirizzo postale dell'agente richiedente (le caselle postali sono escluse);
    • la data e la firma del funzionario autorizzante,
    • la data entro cui il procedimento giudiziario richiede una risposta.

Contenuto delle richieste

Le richieste devono essere giuridicamente valide, avere un ambito adeguato e contenere dettagli sufficienti. Questo significa che devono:

  • Avere una base giuridica valida ed essere state emesse in base alle leggi vigenti e alle norme della giurisdizione dell'agenzia che effettua la richiesta.
  • Essere firmate e presentate da qualcuno che abbia l'autorizzazione a effettuare la richiesta.
  • Essere chiare e non eccessivamente lunghe.
  • Le richieste devono includere identificatori specifici, come il numero di riunione, la data e l'ora in formato UTC, l'indirizzo e-mail utilizzato per organizzare la riunione, e il nome degli utenti coinvolti nella richiesta, se al richiesta riguarda una riunione. Ove applicabile, specificare intervalli di date ragionevoli.

 

Qualora le richieste siano presentate senza i corretti identificatori, un ambito ragionevole e i limiti di date, potremmo richiedere che la richiesta sia ristretta prima di elaborarla.

Richieste governative USA di informazioni sull'utente

Le richieste della pubblica amministrazione USA devono essere conformi ai Requisiti per tutte le giurisdizioni di cui sopra. Questi sono i tipi di richieste che accettiamo e le informazioni che potremmo divulgare in risposta a esse.

 

Tipo della richiesta legale Materiale ottenibile Esempi di dati elaborati da Zoom (non esaustivo; dipende dalle impostazioni del cliente)
Mandato di comparizione (amministrativa, processuale o gran giurì)* Informazioni non relative a contenuti elencate in 18 U.S.C. 2703(c)(2) Nomi degli utenti, e-mail, informazioni di fatturazione, metadati di riunioni o webinar, ad esempio il momento di ingresso di un utente.
Mandato di perquisizione basato su validi motivi supportato da un affidavit e che descrive in modo particolare il luogo o i luoghi da perquisire e le richieste effettuate Informazioni su contenuti e non contenuti dell'utente Quanto espresso sopra, oltre a registrazioni cloud Zoom, foto del profilo, segreteria telefonica e messaggi della segreteria telefonica, SMS (Zoom Phone e Zoom Contact Center)

 

*Potremmo richiedere un'ordinanza 2703(d) anziché un mandato di comparizione per informazioni non relative a contenuti diverse da quelle elencato in 2703(c)(2), e in alcune altre circostanze in cui un mandato di comparizione è giuridicamente insufficiente.

 

* Tieni presente che Zoom risponderà alle richieste di indagini civili (CID) come "citazioni amministrative" ai sensi del 18 U.S.C. § 2703(c)(2).

 

Rispettiamo e cerchiamo di rispettare le leggi sulla privacy in vigore nei luoghi in cui vivono i nostri clienti e utenti. Possiamo opporci alle richieste di informazioni personali o contenuti del cliente se la richiesta dovesse richiedere una violazione delle leggi estere sulla privacy, incluso il Regolamento dell'Unione Europea in materia di protezione generale dei dati.

Richieste governative non USA di informazioni sull'utente

Oltre ai Requisiti per tutte le giurisdizioni esposti in precedenza, la richiesta deve avere una ragione legalmente valida. Zoom non considera una richiesta non USA di valore giuridico a meno che:

  • Non abbia una particolare base giuridica e soddisfi i requisiti in vigore secondo le leggi locali del paese richiedente;
  • Non riguardi in buona fede la prevenzione, la rilevazione o le indagini riguardanti un reato penale nella relativa giurisdizione.

 

Se una richiesta non USA non soddisfa i requisiti di cui sopra, Zoom la contesterà o la respingerà. È sempre possibile effettuare una richiesta nel quadro di un trattato di mutua assistenza giudiziaria in materia penale (MLAT), un accordo cloud o una rogatoria.

 

Esaminiamo tutte le richieste non appartenenti agli USA paese per paese e caso per caso. I questo modo bilanciamo i nostri obblighi legali locali e i principi fondamentali descritti in precedenza, compreso l'impegno per promuovere uno scambio di idee libero e aperto, nonché proteggere la sicurezza e la privacy dei nostri utenti. Nel caso in cui tali principi siano in conflitto con le leggi locali, possiamo respingere una richiesta anche nel caso in cui la richiesta sia corretta secondo le leggi locali.

Per le richieste di intercettazione o monitoraggio in tempo reale del contenuto di una riunione di un utente,

Zoom non ha la capacità di agevolare le intercettazioni di riunioni e webinar dei clienti da parte delle forze dell'ordine, e noi abbiamo la possibilità di infiltrare nostri dipendenti o altri soggetti nelle riunioni senza che siano visibili come partecipanti.

Richieste di intercettazione o monitoraggio in tempo reale e informazioni relative al cliente (credenziali dell'utente finale) per Zoom Phone in India

In India, Zoom è tenuta a facilitare l'intercettazione legale dei numeri di telefono Zoom secondo i termini della sua licenza di fornitore di servizi di telecomunicazione rilasciata dalla pubblica amministrazione indiana. Solo le autorità legalmente autorizzate all'interno delle forze dell'ordine designate in India possono emettere ordini per l'intercettazione legale dei numeri di telefono Zoom. Applichiamo le nostre politiche e procedure interne nell'elaborazione di qualsiasi richiesta di intercettazione legale che riceviamo, ma laddove le normative e le linee guida legali sulle intercettazioni della Pubblica amministrazione indiana richiedano una deviazione da tali politiche e procedure, rispettiamo la legge indiana.

Richieste di conservazione dei dati

Accettiamo richieste di conservazione sia dalla Pubblica amministrazione USA che da quella non USA. Conserveremo un'istantanea dei relativi registri per 90 giorni. Possiamo estendere la richiesta di conservazione per un massimo di 90 giorni ancora, a seguito di una formale richiesta di estensione a parte.

Le richieste di conservazione devono soddisfare tutti i requisiti indicati in precedenza nei Requisiti per tutte le giurisdizioni, e devono indicare le informazioni specifiche dell'account, dell'organizzatore o della riunione da conservare.

Tipi di dati che Zoom potrebbe conservare

Informazioni sull'account

Le informazioni dell'account che abbiamo dipendono dal tipo di account, da ciò che il cliente sceglie di condividere o conservare presso di noi e dalla nostra politica di conservazione dei dati. Non siamo in grado di determinare o garantire l'accuratezza dei dati forniti dai nostri clienti e utenti.

 

Qui ci sono alcuni esempi dei tipi di informazioni che Zoom potrebbe conservare riguardo a un account:

 

Non-contenuto Contenuti del cliente
  • Nome
  • Nome utente
  • Indirizzo e-mail
  • Numero di telefono
  • Nome del titolare dell'account
  • Nome e indirizzo di fatturazione (per gli utenti a pagamento)
  • Metodo di pagamento (non conserviamo informazioni sulle carte di credito degli utenti).
  • Immagine del profilo
  • Registrazioni e trascrizioni di riunioni, messaggi di chat e file condivisi durante una riunione che il cliente decide di archiviare su Cloud Zoom.
  • Nel caso di Zoom Phone e Zoom Contact Center, messaggi SMS, segreteria telefonica e messaggi della casella vocale

 

In merito ai contenuti: Zoom conserva il contenuto delle riunioni solo se (1) il titolare o l'amministratore dell'account acconsente alla registrazione, (2) un organizzatore registra una riunione o un webinar e (3) l'organizzatore chiede a Zoom di conservarlo su Cloud Zoom. Se un organizzatore registra una riunione a livello locale (sul proprio dispositivo) anziché su Cloud Zoom, Zoom non avrà accesso ad alcun contenuto della riunione. Se un organizzatore non registra del tutto una riunione, non esiste alcun contenuto.

 

Per ulteriori informazioni leggere di seguito o consultare la nostra Informativa sulla privacy.

Informazioni su Zoom Meetings, Webinars, Phone e sul contact center

Zoom può elaborare le seguenti informazioni relative a Zoom Meetings, Webinars, Phone e sul contact center:

 

Non-contenuto Contenuti del cliente
  • Indirizzo IP
  • Indirizzo MAC
  • ID del dispositivo
  • Tipo di dispositivo
  • Tipo e versione del sistema operativo
  • Modalità di collegamento dell'utente
  • Prestazioni della rete
  • Versione del client Zoom
  • Tipo di fotocamera, microfono e altoparlante
  • Data e ora della riunione/chiamata
  • Lunghezza della riunione/chiamata
  • Indirizzo email, nome o altre informazioni che i partecipanti scelgono di immettere nel proprio profilo o di utilizzare per identificare se stessi in una riunione
  • Momento in cui i partecipanti entrano in una riunione o la lasciano
  • Se un utente usava video, audio o condivisione schermo
  • Ridenominazione di eventi
  • Modalità di disconnessione del partecipante
  • Per gli utenti di Zoom Phone o di Zoom Contact Center, numeri di provenienza e destinazione della chiamata
  • Nome della riunione
  • Contenuto che un cliente sceglie di conservare su Cloud Zoom (vedere in precedenza)

 

Le informazioni che elaboriamo dipendono (1) dal fatto che un utente abbia un account Zoom registrato, (2) dal tipo di account e (3) dal tipo di prodotto Zoom interessato.

 

Per ulteriori informazioni sui dati trattati da Zoom, visita la nostra Scheda informativa sulla privacy.

 

Per ulteriori informazioni sul trattamento dei dati di Zoom Phone, consulta la nostra Scheda dati sulla privacy di Zoom Phone.

 

Per ulteriori informazioni sul trattamento dei dati di Zoom Contact Center, consulta la nostra Scheda dati sulla privacy di Zoom Contact Center.

Notifica all'utente

La nostra politica ci impone di notificare agli utenti le richieste di loro informazioni, a meno che non ci venga legalmente proibito di farlo (ad esempio, da un giudice ai sensi di 18 U.S.C. § 2705), o nel caso in cui la situazione comporti un rischio per un minore, un'emergenza che implica un pericolo di morte o gravi lesioni fisiche per una persona o una minaccia ai servizi, ai diritti o alle proprietà di Zoom. Qualsiasi ordine di non divulgazione deve avere una durata fissa. Qualora sia richiesta un'eccezione alla nostra politica di notifica, includere una descrizione delle circostanze che la richiedono o del potenziale effetto negativo della notifica, in modo che possiamo valutarne le circostanze.

 

Se la richiesta inquadra una violazione corrente o precedente delle nostre Condizioni d'uso, delle Linee guida sull'uso accettabile, dell'Informativa sulla privacy o di altre politiche in vigore, delle linee guida o dei requisiti di legge, possiamo agire per risolvere la violazione o prevenire ulteriori abusi.

Fornitura dei registri

Se non altrimenti concordato, forniremo le registrazioni di risposta in formato elettronico. Possiamo richiedere il rimborso dei costi relativi alla produzione di informazioni, secondo la procedura di legge e per quanto concesso dalla legge. Possiamo anche chiedere ulteriori rimborsi per le spese sostenute nel rispondere a richieste onerose o inusuali.

Qualora di chiedano informazioni su un cliente di Zoom che ha fornito il consenso all'acquisizione del suo account da parte del governo, o informazioni su una riunione, per quanto possibile le informazioni andranno richieste direttamente al cliente, anziché richiederle a Zoom.

Richieste di emergenza

Valutiamo le richieste di emergenza caso per caso. Se crediamo in buona fede che una situazione di emergenza che comporti il rischio di morte o gravi lesioni fisiche per qualsiasi persona ci richieda di divulgare le informazioni senza alcun indugio, possiamo fornire le informazioni secondo la nostra informativa sulla privacy e le leggi in vigore (es. 18 U.S.C. § 2702(b)(8) e (c)(4)). Non ci impegniamo a produrre le registrazioni in base a qualsiasi serie di circostanze o all'interno di una particolare tempistica e potremmo richiedere ulteriori informazioni sulla richiesta o sull'identità del richiedente.

 

Inviare le richieste di emergenza attraverso il nostro Sistema di risposta delle forze dell'ordine (LERS) qui e includere tutte le seguenti informazioni:

  • Natura dettagliata dell'emergenza, incluso il modo in cui si è venuti a conoscenza della minaccia, collegamento a un post nei social media, registri delle chat, ecc.;
  • Identificazione del soggetto in pericolo di morte o di gravi lesioni fisiche;
  • Descrizione della natura imminente del pericolo, comprese le informazioni che suggeriscono l'esistenza di una scadenza specifica prima della quale sia necessario ricevere le informazioni richieste, o che suggerisce la presenza di un dato termine entro cui si verifica il danno (es., questa sera , o domani a mezzogiorno);
  • Individuare le specifiche informazioni che si richiedono a Zoom. Limitare in modo particolare la richiesta, poiché richiedere tutte le informazioni connesse a un utente, a un account, o a una riunione potrebbe ritardarne l'elaborazione.
  • Spiegare in che modo le informazioni richieste aiuteranno a scongiurare l'emergenza.

Richieste di restrizione dell’accesso ai servizi della piattaforma di Zoom

Molti paesi hanno leggi che potrebbero limitare la possibilità che uno o più residenti partecipino o organizzino particolari webinar o riunioni Zoom. Sarà nostra cura esaminare eventuali richieste governative che esigano da parte nostra l'interruzione di una riunione o la limitazione dell'accesso di un utente a qualsiasi parte della piattaforma Zoom. Se riceviamo una richiesta valida dal punto di vista legale, opportunamente esaminata e sufficientemente dettagliata da un ente governativo legittimo, possiamo prendere provvedimenti per limitare la partecipazione da parte della giurisdizione appropriata. Tutte le richieste che non rispondono a questi requisiti verranno rifiutate o contestate.

 

Ci impegniamo a limitare i provvedimenti che prendiamo a quelli strettamente necessari per il rispetto degli obblighi legali. A meno che non stabiliamo che non vi è stata alcuna violazione delle nostre Condizioni d'uso o delle Linee guida sull'uso accettabile, non possiamo impedire agli utenti di accedere ai nostri servizi se sono esterni alla giurisdizione dell'agenzia governativa richiedente, o se non sono soggetti alle leggi locali in vigore.

 

Tranne nei casi in cui non sia consentito dalla legge, ci impegneremo a notificare le persone nominate nelle richieste di limitazione di accesso. Invieremo l'avviso all'indirizzo email associato all'account.

 

A eccezione delle circostanze in cui riceviamo una richiesta da un legittimo ente pubblico e crediamo in buona fede che esista una situazione di emergenza che comporti un rischio di morte o lesioni gravi per qualsiasi persona (procedura da definire direttamente con gli enti pubblici), il personale della Pubblica amministrazione indiana dislocato all'esterno degli USA che trasmette le richieste di limitazione dell'accesso deve inoltrare una richiesta all'account Law Enforcement Response System di Zoom, dal proprio indirizzo e-mail della Pubblica amministrazione attraverso il proprio account ufficiale con il modulo LERS qui.

Deposizione di testimoni esperti e certificazione dei registri

Non forniamo supporto alle testimonianze rese da esperti, a meno che non sia richiesto dalle leggi e dai regolamenti in vigore. In conformità con la legge, i nostri registri sono automaticamente certificati e non richiedono la deposizione di un garante. Qualora nella giurisdizione sia richiesta una particolare forma di autenticazione, si prega di allegarla alla richiesta.

Queste linee guida non sono intese per rappresentare una consulenza legale. Nulla di questa guida è stato inteso allo scopo di creare qualsiasi diritto esigibile o rimedio contro Zoom. Zoom può aggiornare e modificare di volta in volta queste linee guida senza ulteriore preavviso. Qualsiasi parte interessata dovrà consultare di tanto in tanto questa pagina web per eventuali aggiornamenti o modifiche.