La presente politica è stata elaborata per garantire maggiore trasparenza in merito agli orientamenti adottati da LastPass per stabilire i tempi e le modalità di gestione delle richieste di informazioni riguardanti gli utenti, i clienti e/o gli utenti finali della società (“Informazioni riguardanti gli utenti”) formulate da organismi preposti all’applicazione della legge o alla sicurezza nazionale ovvero da altri organi di regolamentazione (“Autorità governative”).
Inoltre, malgrado la presente politica non sia stata appositamente concepita per rispondere alle richieste di Informazioni riguardanti gli utenti derivanti da controversie di natura privata o commerciale, ove applicabile LastPass tratterà queste richieste adottando le medesime misure precauzionali specificate nel prosieguo.
Tutela delle Informazioni riguardanti gli utenti
Alla ricezione di una richiesta di Informazioni riguardanti gli utenti formulata dalle Autorità governative, LastPass adotta il seguente orientamento prima di fornire una risposta:
- Soggetto – LastPass ritiene che le Autorità governative debbano, laddove possibile, tentare di ottenere le informazioni direttamente dall’utente o dal cliente che è soggetto all’indagine, prima di farne richiesta a LastPass.
- Autorità – LastPass metterà a disposizione le Informazioni riguardanti gli utenti soltanto se le Autorità governative dispongono dell’autorità necessaria per richiederle secondo le normative vigenti. In assenza di un mandato di comparizione, una citazione in giudizio, un ordine del tribunale, un procedimento legale equivalente o una situazione di emergenza di natura valida, LastPass non sarà tenuta a fornire tali informazioni alle Autorità governative.
- Ambito – ove possibile, LastPass cercherà di assicurarsi che qualsiasi richiesta di Informazioni riguardanti gli utenti abbia un ambito di applicazione ragionevole e sia limitata a uno specifico account. LastPass può richiedere una maggiore contestualizzazione qualora la natura dell’attività investigativa non risultasse chiara e può respingere tali richieste per altre motivazioni. Nell’eventualità in cui LastPass fornisca tali informazioni, tenterà di limitarle al minimo indispensabile per ottemperare alla richiesta.
- Comunicazione – prima di rivelare Informazioni riguardanti gli utenti a seguito di una richiesta, LastPass ne darà comunicazione ai diretti interessati in modo che possano valersi dei mezzi di impugnazione ivi applicabili, fuorché nelle circostanze in cui LastPass abbia ricevuto dalle Autorità governative un invito a non agire in tal senso oppure un esplicito divieto al riguardo ovvero sussistano chiare indicazioni di una condotta illecita o dolosa oppure di un rischio di pregiudizio.
Richieste internazionali
Tutte le richieste delle Autorità governative devono essere formulate in conformità alle disposizioni di legge applicabili e presentate mediante canali ufficiali (p.es. provvedimento esecutivo, indirizzo di posta elettronica governativo e così di seguito). In aggiunta, le richieste devono essere formulate nel quadro di una base giuridica adeguata,
per costituire la quale potrebbero essere necessari una richiesta effettuata nell’ambito del trattato di mutua assistenza giudiziaria, una richiesta pervenuta da un Paese che adempie agli obblighi previsti dal CLOUD Act statunitense, una rogatoria ovvero un’altra forma di domesticizzazione.
Valuteremo ogni richiesta ricevuta dalle Autorità governative internazionali a seconda del Paese richiedente e del singolo caso al fine di ponderare i nostri obblighi giuridici nazionali in rapporto al nostro impegno a promuovere la sicurezza e la riservatezza degli utenti. Ci riserviamo il diritto di fornire una risposta diversa alle richieste in base al Paese laddove tale impegno risulta in conflitto con le leggi locali.
Le informazioni che LastPass può fornire
Giacché il funzionamento di LastPass si fonda su un modello di sicurezza basato sul principio della conoscenza zero, l’accesso ai contenuti riservati presenti nelle casseforti dei clienti in formato non crittografato è assolutamente precluso a LastPass. Pertanto, LastPass è impossibilitata a fornire tali informazioni in riscontro a una richiesta delle Autorità governative.
La stragrande maggioranza di richieste da noi ricevute riguarda informazioni di base a livello di account dei clienti correlate a indagini delle Autorità governative su potenziali frodi o altre violazioni normative.
Le informazioni che le Autorità governative devono fornire
I funzionari delle Autorità governative sono invitati ad assicurarsi che le richieste di Informazioni riguardanti gli utenti abbiano un ambito di applicazione ragionevole e siano rigorosamente circoscritte alle informazioni necessarie per portare a termine le attività investigative. Per consentirci di fornire una risposta in maniera efficace e tempestiva, le richieste presentate dai funzionari delle Autorità governative devono essere quanto più dettagliate possibile. In genere, le seguenti informazioni risultano particolarmente utili:
- Indirizzo di posta elettronica dell’utente – siamo in grado di risalire alla maggior parte delle Informazioni riguardanti gli utenti mediante l’indirizzo di posta elettronica appartenente al titolare dell’account principale. Pertanto, l’indirizzo di posta elettronica associato all’account è l’informazione identificativa più utile.
- Indirizzo di fatturazione e/o dati delle carte di credito per gli account a pagamento – in taluni casi, siamo in grado di risalire a un account mediante le ultime quattro cifre della carta di credito o di debito impiegata per l’acquisto dei servizi e la data della transazione. Si precisa che, per quanto concerne gli account a pagamento, LastPass non dispone di altre informazioni relative alle carte di credito o di debito al di fuori delle ultime quattro cifre. Per di più, alcuni account LastPass sono gratuiti, per cui non sono associati ad alcuna informazione di pagamento.
Tutte le richieste devono inoltre essere accompagnate dalle informazioni di contatto del funzionario autorizzato dall’autorità richiedente, incluso:
- Denominazione dell’ente
- Nome del funzionario e numero identificativo/distintivo
- Indirizzo di posta elettronica del funzionario rilasciato dal datore di lavoro
- Numero telefonico del funzionario, incluso eventuali interni
- Indirizzo postale del funzionario
- Data prevista per la risposta
Come presentare una richiesta
LastPass accetta le richieste delle Autorità governative inviate per posta elettronica all’indirizzo legal@lastpass.com.
Benché LastPass convenga di accettare le richieste presentate con questa modalità, né la società né i suoi clienti rinunciano ad alcun diritto legale sulla base di questa convenzione. Oltre a ciò, le richieste devono essere inviate da un indirizzo di posta elettronica ufficiale dell’autorità richiedente.