Asana si impegna a proteggere e rispettare il tuo diritto globale alla privacy. In considerazione delle varie giurisdizioni che hanno promulgato leggi che influenzano il modo in cui le aziende gestiscono le informazioni personali, desideriamo sottolineare alcune delle misure che Asana ha messo in atto per rispettare le leggi e le normative globali sulla privacy in continua evoluzione e per sottolineare il costante impegno di Asana nei confronti della privacy.

Conformità e comunicazioni

Poiché le leggi, i regolamenti e le linee guida delle autorità per la protezione dei dati sono in continua evoluzione e sempre più paesi stanno approvando nuove leggi e regolamenti sulla protezione dei dati, continueremo a seguire da vicino questi sviluppi e a valutare il nostro programma per eventuali modifiche o miglioramenti secondo necessità.

Per noi, la comunicazione con i nostri clienti è importante. In caso di domande sulle nostre procedure per la tutela dei dati, contattaci all'indirizzo email privacy@asana.com.

Regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei dati (RGPD) è una legge europea che regola la protezione dei dati personali dei residenti nell'Unione europea entrata in vigore il 25 maggio 2018. Ai sensi dell'RGDP, le organizzazioni che raccolgono, conservano, utilizzano o elaborano i dati personali dei cittadini dell'Unione europea (indipendentemente dalla sede dell'organizzazione) devono implementare misure specifiche per garantire il rispetto della privacy e la sicurezza di tali dati. Asana ha attuato un programma esaustivo di ottemperanza all'RGDP e si impegna a collaborare con i propri clienti e fornitori per garantire il rispetto di tale regolamento. Tra le principali azioni che Asana intraprende per rendere le proprie pratiche conformi all'RGDP rientrano:

• il riesame delle nostre politiche e gli accordi con i nostri partner, fornitori e utenti, se necessario, in base al cambiamento dei requisiti

• il miglioramento delle nostre pratiche e procedure di sicurezza

• una rigorosa revisione e mappatura dei dati raccolti, utilizzati e condivisi

• la creazione di una documentazione interna sulla privacy e sulla sicurezza più solida

• La formazione dei dipendenti sui requisiti globali in materia di privacy e in generale sulle buone pratiche in materia di privacy e sicurezza

• un'attenta valutazione e definizione delle politiche dei diritti degli interessati e del processo di risposta.

Di seguito, forniamo ulteriori dettagli sulle aree principali del programma di ottemperanza all'RGPD di Asana e sul modo in cui i clienti possono affidarsi ad Asana per le proprie iniziative di conformità all'RGPD.

Accordi sul trattamento dei dati

Ai sensi dell'RGPD, i "titolari del trattamento" (ovvero le entità che determinano le finalità e i mezzi di trattamento dei dati) sono tenuti a stipulare accordi con altri soggetti che trattano i dati per loro conto (denominati "responsabili del trattamento"). Asana offre ai propri clienti che sono titolari del trattamento dei dati personali dell'UE la possibilità di sottoscrivere l'accordo [Appendice sul trattamento dei dati] in base alla quale Asana si impegna a trattare e salvaguardare i dati personali in conformità ai requisiti dell'RGPD. Ciò include l'impegno di Asana a trattare i dati personali in linea con le istruzioni del titolare del trattamento.

Trasferimento di dati personali all'estero

Il programma del quadro sulla privacy dei dati UE-USA, l’estensione del Regno Unito al DPF UE-USA e il quadro sulla privacy dei dati Svizzera-USA.

Asana è conforme al programma del quadro sulla privacy dei dati UE-USA (DPF EU-USA), l’estensione del Regno Unito al DPF UE-USA e il quadro sulla privacy dei dati Svizzera-USA (DPF Svizzera-USA) come stabilito dal Dipartimento del Commercio degli Stati Uniti. Asana ha certificato al Dipartimento del Commercio degli Stati Uniti che aderisce ai Principi del quadro sulla privacy dei dati UE-USA (Principi del DPF UE-USA) con riferimento al trattamento dei dati personali ricevuti dall’Unione Europea in base al DPF UE-USA e dal Regno Unito (e Gibilterra) in base all’estensione del Regno Unito del DPF UE-USA. Asana ha certificato al Dipartimento del Commercio degli Stati Uniti che aderisce ai principi del programma del quadro sulla privacy dei dati Svizzera-USA (Principi DPF Svizzera-USA) con riferimento al trattamento dei dati personali ricevuti dalla Svizzera in base al DPF Svizzera-USA.

In conformità con il DPF UE-USA, l’estensione del Regno Unito al DPF UE-USA e il DPF Svizzera-USA, Asana si impegna a sottoporre i reclami non risolti relativi alla gestione dei dati personali ricevuti in base al DPF UE-USA, all’estensione del Regno Unito al DPF UE-USA e al DPF Svizzera-USA a BBB National Programs, un fornitore di soluzioni alternative alle controversie con sede negli Stati Uniti. Se Lei non riceve un riscontro tempestivo del Suo reclamo relativo ai Principi quadro DPF da parte nostra, o se il Suo reclamo relativo ai Principi quadro DPF non è stato affrontato in modo soddisfacente, visiti il sito web del procedimento per la risoluzione delle controversie di BBB National Programs all’indirizzo https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers per ulteriori informazioni o per presentare un reclamo. I servizi di BBB National Programs sono forniti senza alcun costo per Lei.

Si noti che se il Suo reclamo non viene risolto attraverso tali canali, in circostanze limitate, può essere disponibile un’opzione di arbitrato vincolante, come stabilito nell’Allegato I dei Principi quadro DPF. Asana è soggetta ai poteri di indagine e di applicazione della Federal Trade Commission (FTC) per quanto riguarda la sua conformità alle disposizioni del DPF UE-USA, dell’estensione del Regno Unito al DPF UE-USA e del DPF Svizzera-USA.

Asana adotterà le misure ragionevoli e appropriate necessarie per garantire che qualsiasi terza parte che agisce come “responsabile del trattamento dei dati” secondo la terminologia dell’UE, del Regno Unito e della Svizzera tratti i dati personali che le affidiamo in modo coerente con i Principi quadro DPF. Asana è potenzialmente responsabile in caso di trasferimento a terzi dei dati di individui dell’UE, del Regno Unito e della Svizzera ricevuti ai sensi del DPF UE-USA, dell’estensione del Regno Unito al DPF UE-USA e del DPF Svizzera-USA, rispettivamente.

In caso di conflitto tra i termini della presente informativa sulla privacy e i Principi quadro DPF UE-USA e/o i Principi quadro DPF Svizzera-USA, prevarranno i Principi.

Per saperne di più sul programma del quadro sulla privacy dei dati (Data Privacy Framework, DPF) e per visualizzare la nostra certificazione, visitare il sito https://www.dataprivacyframework.gov/.

Qualora non trovino applicazione il DPF UE-USA, l’estensione del Regno Unito al DPF UE-USA e il DPF Svizzera-USA, Asana si affida ad altri meccanismi di trasferimento dei dati per trasferire i dati personali al di fuori del SEE, del Regno Unito e della Svizzera, come le Clausole contrattuali tipo.

Strumenti di accesso, gestione e portabilità dei dati

L'RGPD conferisce ai singoli interessati, in determinate circostanze, il diritto, tra l'altro, di accedere, cancellare e apportare correzioni ai propri dati personali. Asana si impegna ad agevolare gli interessati nelle loro richieste in conformità all'RGDP, come descritto nella nostra Informativa sulla privacy.

Documentazione sulla privacy

In essenza, l'RGPD è incentrato su trasparenza, correttezza e responsabilità. Di conseguenza, la legge richiede alle organizzazioni di conservare la documentazione relativa alle proprie procedure in materia di privacy e decisioni sulla gestione dei dati personali. Asana condivide l'impegno dell'RGPD ad aderire a questi principi e ha incluso nel proprio programma di ottemperanza all'RGPD la documentazione sulle attività di raccolta e trattamento dei dati e le varie politiche e linee guida a cui aderisce ai sensi dell'RGPD. Per ulteriori informazioni sulle modalità di raccolta, utilizzo e divulgazione dei dati personali, puoi consultare l'Informativa sulla privacy di Asana.

Sicurezza dei dati

L'RGPD richiede alle organizzazioni di utilizzare misure tecniche e organizzative appropriate al fine di tutelare la sicurezza, la riservatezza e l'integrità dei dati personali. La sicurezza continua a essere una priorità per Asana e le nostre certificazioni ISO 27018 (Protezione dei dati personali nel cloud), ISO 27701 (Gestione delle informazioni sulla privacy) e altre dimostrano il nostro impegno nei confronti degli standard globali sulla privacy. Inoltre, abbiamo superato con successo gli audit SOC 2 (Tipo I) e (Tipo II) su sicurezza, disponibilità e riservatezza. Ciò significa che un'organizzazione esterna indipendente ha valutato i nostri processi e le nostre procedure rispetto a questi criteri di fiducia e ha confermato la nostra capacità di rispettare i controlli implementati. Inoltre, abbiamo messo in atto una serie di misure di salvaguardia per tutelare la sicurezza della nostra piattaforma, tra cui la crittografia delle connessioni web per proteggere la trasmissione di dati, la replica dei nostri database per garantire l'affidabilità della piattaforma e il controllo dell'accesso alle nostre strutture e alla nostra rete di uffici. Asana offre inoltre ai clienti la possibilità di utilizzare controlli di sicurezza aggiuntivi per migliorare ulteriormente la sicurezza dei dati dei loro team. Per ulteriori informazioni, consulta la pagina Affidati ad Asana.

Esercizio dei tuoi diritti ai sensi della pertinente legge globale sulla privacy

Se desideri esercitare i tuoi diritti, invia la tua richiesta compilando il nostro modulo dei diritti globali di protezione dei dati. Per ulteriori informazioni su come Asana offre ai singoli consumatori la possibilità di accedere e richiedere la rimozione dei propri dati personali ai sensi del CCPA, consulta le informazioni sulla privacy per i residenti in California nella nostra Informativa sulla privacy.

California Consumer Privacy Act

Il CCPA (modificato da CPRA) è una legge che fornisce ai consumatori della California determinati diritti in relazione ai loro dati personali. In particolare, richiede che le aziende soggette allo statuto garantiscano ai consumatori la possibilità di richiedere l'accesso e la cancellazione dei propri dati e di rinunciare a determinati tipi di divulgazione delle proprie informazioni personali. La legge limita anche il modo in cui i fornitori di servizi che trattano i dati personali per conto di un'azienda possono utilizzare tali informazioni.

Se un'azienda soggetta al CCPA ha stipulato un contratto di servizi o abbonamento, Asana agirà come fornitore di servizi per tale azienda. In particolare, tratterà i dati personali di tali clienti solo per le finalità stabilite nell'accordo in vigore e collaborerà con i clienti per adempiere ai loro obblighi in relazione alle loro richieste di cancellazione o di accesso.

Appendice sul trattamento dei dati ai sensi del CCPA

Asana ha aggiornato la propria Appendice sul trattamento dei dati (DPA) per fare riferimento specifico ai propri obblighi ai sensi del CCPA (modificato da CPRA). Se la tua organizzazione è un cliente di Asana e richiede un'appendice, contatta dpa@asana.com.

Gramm-Leach-Bliley Act

Il Gramm-Leach-Bliley Act (GLBA) impone agli istituti finanziari (società che offrono ai consumatori prodotti o servizi finanziari come prestiti, consulenze finanziarie o sugli investimenti, o assicurazioni) di illustrare le proprie pratiche di condivisione delle informazioni ai clienti e di salvaguardarne i dati sensibili. Anche i fornitori di servizi autorizzati dagli istituti finanziari ad accedere alle informazioni personali non pubbliche (NPI) dei clienti sono tenuti a rispettare il GLBA. Asana è conforme al Regolamento per la tutela della privacy e la salvaguardia delle informazioni del GLBA. Oltre a implementare le misure di sicurezza, utilizziamo i contenuti relativi al lavoro dei clienti esclusivamente per fornire i nostri servizi e non per altri scopi. I clienti non dovrebbero conservare dati personali sensibili (quali il numero di conto corrente finanziario e di previdenza sociale) in Asana.

Family Educational Rights and Privacy Act

Il Family Educational Rights and Privacy Act (Legge sui diritti educativi e sulla privacy della famiglia, FERPA) è una legge federale americana che impone alle istituzioni accademiche come college e università di tutelare la privacy dei registri scolastici degli studenti. Asana consente ai propri clienti di conformarsi alla FERPA mantenendo al sicuro i dati personali e garantendo che vengano usati solo per fornire i propri servizi come descritto nei Termini di servizio e nell'Informativa sulla privacy. Asana si impegna contrattualmente a non divulgare i dati dei clienti se non come indicato dall'istituzione accademica contraente, come consentito dai propri termini o come richiesto dalla legge.

HIPAA

La legge sulla portabilità e la responsabilità dell'assicurazione sanitaria del 1996 (Health Insurance Portability and Accountability Act o HIPAA) è una legge federale degli Stati Uniti che richiede la creazione di standard nazionali per la protezione contro la divulgazione dei dati sanitari sensibili dei pazienti, senza il consenso o all'insaputa dei pazienti stessi. Le aziende soggette alle disposizioni dell'HIPAA del 1996 possono utilizzare Asana per supportare una gestione del lavoro conforme all' HIPAA.

La conformità di Asana all'HIPAA è disciplinata dal Contratto di partnership commerciale di Asana (BAA). Per ulteriori dettagli su Asana e sull'HIPAA, consulta il foglio dati HIPAA.

Act on the Protection of Personal Information

L'APPI (Act on the Protection of Personal Information, legge sulla protezione delle informazioni personali) è la principale legge sulla protezione dei dati in Giappone, che regola la tutela dei dati personali. Si applica alle aziende che gestiscono i dati personali delle persone in Giappone. Dall'entrata in vigore, nel 2003, l'APPI ha subito delle modifiche, e quelle più recenti entreranno in vigore il 1° aprile 2022.

In maniera simile alla distinzione tra "titolare del trattamento" e "responsabile del trattamento" indicata nell'RGPD, l'APPI fa una distinzione tra "aziende", ovvero le entità che hanno l'autorità per controllare e prendere decisioni relative ai dati personali archiviati (ad esempio i clienti di Asana) e fornitori terzi di servizi che gestiscono dati personali per conto di un'azienda (ad esempio Asana).

Inoltre, l'APPI impone delle limitazioni sui trasferimenti transnazionali di dati personali al di fuori del Giappone. I dati personali possono essere trasferiti a destinatari in paesi esteri se esistono accordi contrattuali che assicurano la conformità con gli standard di protezione dei dati in Giappone.

Asana si impegna a elaborare e salvaguardare i dati personali come richiesto dall'APPI e dalle sue modifiche. L'Appendice sul trattamento dei dati di Asana riguarda (1) il nostro impegno nella protezione dei dati per garantire la nostra conformità con l'APPI; (2) il metodo con cui assistiamo i nostri clienti per fare in modo che rispettino i loro obblighi indicati dall'APPI; e (3) le misure tecniche e organizzative implementate per proteggere i dati personali. Per ulteriori informazioni sulle pratiche relative alla protezione e alla protezione dei dati, consulta la pagina Affidati ad Asana.

Risorse correlate

• Informativa sulla privacy di Asana

• Appendice sul trattamento dei dati di Asana

• Pagina Affidati ad Asana

• Certificazione di Asana sul Privacy Shield UE-USA e Svizzera-USA

• Testo completo dell'RGPD

• Testo completo del CCPA (modificato da CPRA)