Le presenti linee guida forniscono istruzioni e garantiscono una maggiore trasparenza in merito alla gestione delle richieste di informazioni relative ai nostri utenti, clienti e/o utenti finali (“Informazioni riguardanti gli utenti”) formulate da organismi preposti all’applicazione della legge o alla sicurezza nazionale ovvero da altri organi di regolamentazione.
Ove applicabile, LastPass seguirà una procedura analoga per le richieste legali provenienti da soggetti privati.
Informazioni che possiamo fornire
LastPass adotta un modello di sicurezza “a conoscenza zero” progettato per garantire che i dati dei clienti rimangano sempre riservati e protetti, non solo da soggetti terzi, ma anche da LastPass stessa. Il servizio di LastPass include una “cassaforte”, all’interno della quale i dati sensibili degli utenti vengono memorizzati in forma crittografata; tali dati possono essere decrittografati esclusivamente a livello di utente e di dispositivo mediante l’inserimento della password principale. Per progettazione, LastPass non è a conoscenza della password principale dell’utente e non la memorizza né vi accede in alcun modo. Pertanto, nessun dipendente di LastPass è in grado di decrittografare i dati contenuti nella cassaforte presente sui server di LastPass, né di fornire tali informazioni in risposta a una richiesta legale.LastPass ritiene che i richiedenti debbano, laddove possibile, tentare di ottenere le informazioni direttamente dall’utente o dal cliente che è soggetto all’indagine, prima di farne richiesta a LastPass.
Informazioni che i richiedenti devono fornire
Per garantire che le richieste di Informazioni riguardanti gli utenti abbiano un ambito di applicazione ragionevole e siano rigorosamente circoscritte alle informazioni necessarie per portare a termine le attività investigative, ciascuna richiesta deve includere un mandato di comparizione, una citazione in giudizio, un’ordinanza del tribunale, un procedimento legale equivalente o l’attestazione di una situazione di emergenza di natura valida; tale documentazione, emessa dall’autorità competente, deve essere presentata nella sua forma originale e inalterata come file PDF.
Per consentirci di fornire una risposta in maniera efficace e tempestiva, le richieste presentate devono essere quanto più dettagliate possibile. Si prega di notare che la maggior parte delle Informazioni riguardanti gli utenti e dei dati relativi agli account può essere identificata esclusivamente tramite l’indirizzo e-mail dell’utente in questione. Pertanto, l’indirizzo di posta elettronica associato all’account è l’informazione identificativa più utile.
Tutte le richieste devono inoltre essere accompagnate dalle informazioni di contatto del richiedente autorizzato, incluso:
- Nome
- Numero identificativo/distintivo (laddove applicabile)
- Indirizzo e-mail istituzionale
- Numero telefonico, comprensivo di eventuale interno
- Indirizzo postale
- Data prevista per la risposta
Elaborazione delle richieste
Alla ricezione di una richiesta di Informazioni riguardanti gli utenti, LastPass adotta il seguente orientamento prima di fornire una risposta:
- Autorità – LastPass verificherà che il richiedente disponga dell’autorità necessaria, ai sensi delle normative vigenti, per richiedere le Informazioni riguardanti gli utenti. In assenza di un mandato di comparizione, una citazione in giudizio, un ordine del tribunale, un procedimento legale equivalente o una situazione di emergenza di natura valida, LastPass non sarà tenuta a fornire tali informazioni al richiedente.
- Ambito – ove possibile, LastPass cercherà di assicurarsi che qualsiasi richiesta di Informazioni riguardanti gli utenti abbia un ambito di applicazione ragionevole e sia limitata a uno specifico account. LastPass può richiedere una maggiore contestualizzazione qualora la natura dell’attività investigativa non risultasse chiara e può opporsi alla richiesta, se del caso. Nell’eventualità in cui LastPass fornisca tali informazioni, tenterà di limitarle al minimo indispensabile per ottemperare alla richiesta.
- Comunicazione – prima di rivelare Informazioni riguardanti gli utenti a seguito di una richiesta, LastPass ne darà comunicazione ai diretti interessati in modo che possano valersi dei mezzi di impugnazione ivi applicabili, fuorché nelle circostanze in cui LastPass abbia ricevuto dall’autorità competente istruzioni a non agire in tal senso oppure un esplicito divieto al riguardo ovvero sussistano chiare indicazioni di una condotta illecita o dolosa oppure di un rischio di pregiudizio.
Richieste internazionali
Tutte le richieste devono essere formulate in conformità alle disposizioni di legge applicabili e presentate mediante canali ufficiali (p.es. provvedimento esecutivo, indirizzo di posta elettronica istituzionale e così di seguito). In aggiunta, le richieste devono essere formulate nel quadro di una base giuridica adeguata, per costituire la quale potrebbero essere necessari una richiesta effettuata nell’ambito del trattato di mutua assistenza giudiziaria, una richiesta pervenuta da un Paese che adempie agli obblighi previsti dal CLOUD Act statunitense, una rogatoria ovvero un’altra forma di domesticazione.
Valuteremo ogni richiesta internazionale a seconda del Paese richiedente e del singolo caso al fine di ponderare i nostri obblighi giuridici nazionali in rapporto al nostro impegno a promuovere la sicurezza e la riservatezza degli utenti. Ci riserviamo il diritto di fornire una risposta diversa alle richieste in base al Paese laddove tale impegno risulta in conflitto con le leggi locali.
Come presentare una richiesta
LastPass accetta richieste di Informazioni riguardanti gli utenti, come quelle formulate da organismi preposti all’applicazione della legge, tramite posta elettronica all’indirizzo subpoenas@lastpass.com.
Benché LastPass convenga di accettare le richieste presentate con questa modalità, né la società né i suoi clienti rinunciano ad alcun diritto legale sulla base di questa convenzione. Oltre a ciò, le richieste devono essere inviate da un indirizzo di posta elettronica ufficiale dell’autorità richiedente, laddove applicabile.
