Privacy VMware si impegna a proteggere la privacy dei tuoi dati

I "Contenuti del cliente" (o i "Tuoi contenuti") sono contenuti da te caricati in qualità di cliente o caricati dai tuoi utenti in un servizio cloud per l'elaborazione, lo storage o l'hosting in relazione al tuo account. Nell'ambito dei servizi di assistenza, per "Contenuti del cliente" si intende qualsiasi contenuto fornito a VMware come parte dei servizi stessi. La definizione di "Contenuti del cliente" è riportata nelle Condizioni generali di VMware. I Contenuti del cliente includono, ad esempio, i dati archiviati da te o dai tuoi utenti in Workspace ONE. È importante sottolineare che le informazioni relative all'account, inclusi elementi associati all'account quali i nomi, i nomi utente, i numeri di telefono e le informazioni di fatturazione, non rientrano nella definizione di "Contenuti del cliente", né vi rientrano le informazioni che VMware raccoglie in relazione all'uso dei propri Cloud Services. VMware tratterà tali informazioni in conformità alla propria Informativa sulla privacy.

Tu mantieni sempre la proprietà dei Contenuti del cliente. Inoltre, sei tu a determinare quali VMware Cloud Services utilizzare per l'elaborazione, lo storage e l'hosting dei Contenuti del cliente e quali informazioni caricare nel servizio cloud come Contenuti del cliente. VMware non accederà né utilizzerà i Contenuti del cliente per qualsivoglia finalità, salvo quanto necessariamente previsto per fornire il servizio cloud o come indicato e consentito nelle Condizioni generali di VMware. Infine, VMware non utilizzerà i Contenuti del cliente per finalità di marketing o pubblicitarie.

VMware fornisce soluzioni aziendali che consentono ai suoi clienti di creare, gestire, proteggere ed eseguire applicazioni in più sistemi e ambienti. Sebbene VMware ritenga che la natura delle offerte di servizi fornite ai suoi clienti non garantisca generalmente una richiesta di accesso diretto da parte della pubblica amministrazione ai Contenuti del cliente, ha comunque adottato le seguenti misure per rispettare la sentenza Schrems II e per assistere i clienti nei loro sforzi per la compliance in materia di dati trattati in qualità di titolare del trattamento:

Impegni contrattuali rafforzati in merito alle richieste di accesso della pubblica amministrazione
VMware ha aggiornato la sezione dedicata alle divulgazioni obbligatorie nelle Condizioni generali di VMware per chiarire in che modo VMware gestisce le richieste di accesso della pubblica amministrazione, con l'aggiunta dei seguenti impegni:

Qualora la notifica al cliente non sia vietata dalla legge, VMware:

• Informerà il cliente: il cliente verrà avvisato di qualsiasi richiesta di divulgazione dei Contenuti del cliente.

• Segnalerà il cliente all'autorità competente: comunicherà all'autorità competente che VMware è un service provider che agisce per conto del cliente e che tutte le richieste di accesso ai Contenuti del cliente devono essere inviate per iscritto alla persona di contatto identificata dal cliente o all'ufficio legale del cliente.

• Limiterà l'accesso: fornirà l'accesso ai Contenuti del cliente solo con l'autorizzazione del cliente. Se il cliente lo richiede, e a sue spese, adotteremo misure ragionevoli per contestare qualsiasi richiesta.

Nel caso in cui a VMware sia legalmente vietato informare il cliente, VMware:

• Valuterà la validità legale: VMware valuterà la richiesta di divulgazione per determinare se è legalmente valida e vincolante.

• Contesterà le richieste illecite: VMware contesterà l'ordine se ritiene ragionevolmente che non sia conforme alla legge applicabile.

• Limiterà l'ambito della divulgazione: VMware limiterà l'ambito di qualsiasi divulgazione solo alle informazioni che è tenuta a divulgare e divulgherà le informazioni in conformità alla legge applicabile.

Trasparenza relativa al processo di gestione delle richieste di accesso della pubblica amministrazione e delle autorità statunitensi

Per aiutare i clienti a comprendere ulteriormente gli impegni assunti e le procedure attuate da VMware per gestire le richieste di accesso inoltrate dalla pubblica amministrazione, inclusi gli impegni stabiliti nelle norme BCR di VMware, VMware ha elaborato i Principi VMware per la gestione delle richieste di accesso ai Contenuti dei clienti da parte della pubblica amministrazione.

VMware ha inoltre preparato una dichiarazione in merito all'applicazione del Foreign Intelligence Surveillance Act (FISA) - Sezione 702 e dell'Ordine esecutivo 12333 in vista della sentenza Schrems II per affrontare le preoccupazioni circa le agenzie di intelligence statunitensi che hanno accesso ai dati in transito dall'UE agli USA e per aiutare i clienti a comprendere la probabile applicazione di due autorità statunitensi: l'Ordine esecutivo 12333 e la Sezione 702 della normativa FISA. Data la natura dei servizi che fornisce, VMware crede fermamente che ci sia una bassa probabilità che sia soggetta alla Sezione 702 o all'Ordine esecutivo 12333 in relazione alla fornitura delle offerte di servizi.

Contratti aggiornati con i subincaricati al fine di assicurare la base giuridica per il trasferimento dei dati personali

Dopo l'annullamento dell'accordo EU-US Privacy Shield, VMware ha implementato Clausole contrattuali standard con tutti i suoi subincaricati che in precedenza adottavano tale disciplina come meccanismo di trasferimento dei dati. In qualità di responsabile del trattamento, VMware si avvale delle Norme aziendali vincolanti per trasferire i dati personali al di fuori dell'UE in relazione alla fornitura delle offerte di servizi VMware applicabili, secondo quanto stabilito nell'Addendum sul trattamento dei dati di VMware.

Misure tecnico-organizzative

VMware conferma il proprio impegno a implementare e adottare le misure tecnico-organizzative appropriate, secondo quanto stabilito nell'Addendum sul trattamento dei dati di VMware. Il sito web del VMware Trust Center descrive le certificazioni e gli audit di terze parti di VMware in riferimento alle sue offerte di servizi. Data la natura delle offerte di servizi VMware, i clienti hanno anche il controllo sulla configurazione di dette offerte e possono implementare gli eventuali controlli amministrativi e tecnici necessari per proteggere i dati elaborati in riferimento all'utilizzo dell'offerta di servizio applicabile. In molti casi VMware fornisce soluzioni sia on-premise sia in hosting che i clienti possono scegliere per gestire i loro sistemi e la loro infrastruttura.

Valutazioni dell'impatto del trasferimento
VMware ha implementato un processo per condurre le valutazioni dell'impatto del trasferimento, come descritto dettagliatamente nelle domande frequenti sulle TIA. Inoltre, VMware ha aggiornato le Norme aziendali vincolanti per i responsabili del trattamento (BCR-P), approvate dalle autorità di vigilanza, per includere l'impegno a condurre valutazioni dell'impatto del trasferimento. Consulta la procedura di valutazione dell'impatto del trasferimento di VMware riportata nelle sue BCR-P.

Trasparenza relativa ai tipi di dati trattati in base al servizio VMware - Schede tecniche
Nelle sue domande frequenti sulla sentenza "Schrems II", il Comitato europeo per la protezione dei dati (EDPB) ha sottolineato la necessità di considerare i tipi di dati trasferiti come un fattore chiave per determinare se esiste o meno un livello adeguato di protezione riguardo al trasferimento dei dati personali al di fuori dell'UE. Inoltre, ha specificato che i titolari del trattamento dovrebbero condurre un'analisi caso per caso per stabilire i rischi legati a tale trasferimento. Per aiutare i clienti a comprendere i tipi di dati trattati in riferimento all'utilizzo delle offerte di servizi VMware, VMware fornisce descrizioni per ciascuna offerta di servizio e schede tecniche per offerte di servizi specifiche nella sezione sulla privacy del VMware Trust Center. Per le offerte di servizi di Workspace ONE, VMware fornisce anche l'Informativa sulla privacy di Workspace ONE.

VMware incarica terze parti e si serve di loro per erogare servizi per proprio conto in relazione alla fornitura delle offerte di servizi VMware o di Servizi in abbonamento e di assistenza. Per quanto attiene al coinvolgimento di terze parti che trattano i dati personali in qualità di subincaricati (secondo le definizioni contenute nell'Addendum sul trattamento dei dati), VMware ha implementato i seguenti processi e procedure:

1. Impegno contrattuale e trasferimenti internazionali dei dati: VMware stipula accordi per il trattamento dei dati con tutti i suoi subincaricati. Tali accordi prevedono il mantenimento di un livello adeguato di privacy, sicurezza e riservatezza dei dati personali con termini sostanzialmente simili agli impegni contrattuali assunti da VMware con i suoi clienti nell'Addendum sul trattamento dei dati. VMware segue le Clausole contrattuali standard dell'UE, a meno che non sia disponibile un diverso meccanismo legittimo di trasferimento dei dati e il subincaricato non assuma impegni contrattuali appropriati.
   
   
2. Processo di revisione della privacy e principio Privacy by Design: VMware ha definito un processo end-to-end di gestione centralizzata dei vendor di terze parti per l'onboarding di nuovi fornitori, inclusi l'avvio, lo svolgimento e il monitoraggio della revisione della privacy e della sicurezza di terze parti utilizzando strumenti centralizzati a sostegno dei propri sforzi per la compliance. Il team di VMware per la privacy rivede in modo dettagliato la privacy dei servizi forniti dai subincaricati, inclusa la determinazione delle categorie dei dati personali trattati e delle finalità del trattamento. Tali revisioni prevedono l'implementazione di controlli sulla privacy per mitigare i rischi associati all'accesso e al trattamento dei dati personali da parte dei subincaricati e assicurare la compliance normativa.
   
   
3. Processo di revisione della sicurezza: VMware adotta una policy e una procedura specifiche per effettuare revisioni della sicurezza dei subincaricati. Il team VMware Security conduce una revisione della sicurezza iniziale di qualsiasi nuovo subincaricato e il monitoraggio continuo sulla base del livello di rischio per la sicurezza identificato.
   
   
4. Elenco dei subincaricati e notifica di nuovi subincaricati: VMware ha stilato un elenco dei subincaricati utilizzati dalle singole offerte di servizi e in relazione ai Servizi in abbonamento e di assistenza. VMware comunica preventivamente ogni nuovo coinvolgimento di un subincaricato ai clienti che si sono iscritti per ricevere notifiche per un servizio specifico.

VMware dispone di un processo interno per il monitoraggio, l'analisi e la valutazione di nuove leggi, normative, linee guida vincolanti e soluzioni giurisprudenziali che potrebbero essere applicate a VMware, sia per la fornitura dei propri servizi sia per la gestione delle attività aziendali. Il team per la privacy si avvale di consulenti esterni, strumenti di ricerca sulla privacy e notifiche dagli studi legali per capire quando vengono emanate nuove leggi e normative.

Dopo aver stabilito l'effettiva applicabilità di una legge specifica a VMware, come nel caso delle leggi vigenti in Cina e Giappone, oltre che negli stati americani della California, del Colorado, della Virginia e dello Utah, ad esempio, VMware monitora i requisiti giuridici e implementa un piano progettuale per assicurare la compliance. Nell'ambito del processo di implementazione, il team di VMware per la privacy coinvolge le parti interessate interne e identifica i processi e i controlli che devono essere aggiornati per poter rispettare i nuovi requisiti giuridici. Il team di VMware per la privacy si affida al proprio ecosistema di comitati per la privacy (basati su aree funzionali, ad esempio Marketing, Risorse Umane e Vendite) all'interno dell'azienda per fornire assistenza nell'implementazione tempestiva ed efficiente di nuove leggi o emendamenti.

Inoltre, il team di VMware per la privacy utilizza al meglio la propria formazione standard in materia di privacy e la formazione di altre aziende affinché tutti i dipendenti e collaboratori esterni vengano adeguatamente formati su eventuali nuovi requisiti giuridici che potrebbero avere impatto sulla loro funzione aziendale. Ad esempio, nell'ambito della compliance normativa di VMware alle Norme aziendali vincolanti per i responsabili del trattamento, VMware ha attuato la formazione necessaria tramite i suoi corsi annuali obbligatori su sicurezza e consapevolezza e ha aggiornato il proprio Codice di condotta aziendale per riflettere i nuovi requisiti.

La sicurezza dei Cloud Services è di estrema importanza per VMware. Per ulteriori informazioni su come VMware protegge i propri Cloud Services, consulta la pagina dedicata alla sicurezza del Trust Center. VMware ha attuato un programma di gestione della sicurezza delle informazioni in linea con lo standard ISO 27001. Tale programma viene rivisto almeno una volta all'anno per assicurare la presenza di procedure, pratiche e controlli appropriati.

Nell'utilizzo di VMware Cloud Services, sarai responsabile della configurazione e dell'implementazione dei controlli tecnici, organizzativi e amministrativi necessari per soddisfare qualsiasi normativa applicabile, che può dipendere dai tipi di dati che hai scelto di elaborare utilizzando il servizio cloud. Le tue responsabilità relative alla sicurezza dei Contenuti del cliente sono indicate nell'accordo applicabile e includono (a) il controllo dell'accesso fornito agli utenti, (b) la configurazione corretta del servizio cloud, (c) la garanzia della sicurezza dei Contenuti del cliente nel transito da e verso il servizio cloud, (d) l'utilizzo di una tecnologia di crittografia per proteggere i Contenuti del cliente nel modo opportuno e, infine, (e) il backup dei Contenuti del cliente.