OneTrust non divulga volontariamente i dati personali dei clienti agli enti governativi né concede loro l'accesso a tali dati. Inoltre, OneTrust non ha creato e non creerà intenzionalmente backdoor che consentano a enti governativi di accedere ai suoi dati o sistemi informativi. L'azienda non ha modificato, né intende modificare, le proprie procedure in modo da facilitare l'acquisizione di dati da parte dei governi.
Ciononostante, OneTrust potrebbe ricevere una citazione in giudizio, un mandato o un altro ordine del tribunale da parte di un ente governativo che imponga la divulgazione dei dati personali di un cliente. OneTrust rilascerà i dati del cliente richiesti esclusivamente in risposta a un procedimento legale formale e legittimo. Laddove OneTrust riceva tale richiesta, ne affiderà la revisione al proprio team legale per garantire che soddisfi i requisiti legali applicabili. Qualora l'assessment legale riscontrasse motivazioni legittime e lecite per contestare la richiesta, OneTrust procederà a farlo ove appropriato. La policy di OneTrust consiste nell'interpretare tali richieste con estrema precisione, limitando così la portata dei dati personali divulgati.
Affinché OneTrust possa rilasciare i dati dei clienti, la richiesta deve:
- essere redatta per iscritto e su carta intestata ufficiale;
- identificare ed essere firmata da un funzionario autorizzato della parte richiedente e fornire informazioni di contatto ufficiali, compreso un indirizzo e-mail valido;
- indicare il motivo e la natura della richiesta;
- identificare il cliente o l'account del cliente oggetto della richiesta;
- descrivere le informazioni/i dati richiesti nello specifico e il relativo rapporto con l'indagine;
- essere emessa e notificata in conformità alla legge vigente.
Laddove OneTrust riceva una richiesta legalmente vincolante riguardante i dati personali di un cliente, la policy di OneTrust prevede di informare il cliente via e-mail prima di rilasciare qualsiasi informazione. Nella misura consentita dalla richiesta e/o dalla legge vigente, la notifica dovrà descrivere i dati personali richiesti, l'ente che l'ha presentata, la base giuridica della stessa ed eventuali risposte già fornite. Tale notifica offre al cliente l'opportunità di perseguire azioni legali, come ad esempio la presentazione di un'obiezione a un tribunale o all'ente richiedente.
Eccezioni alla policy di OneTrust per le richieste di dati personali da parte di enti governativi:
- una legge, un'ordinanza del tribunale o altre disposizioni legali potrebbero impedire a OneTrust di informare il cliente della richiesta. Tuttavia, OneTrust si adopererà per ottenere una deroga a tale divieto o per informare il cliente non appena il divieto sarà revocato;
- OneTrust può non notificare il cliente in casi eccezionali che comportano una minaccia immediata di morte o di gravi lesioni fisiche a qualsiasi individuo, o per prevenire danni ai servizi di OneTrust;
- OneTrust può astenersi dall'informare il cliente se vi è motivo di sospettare che l'avviso non raggiunga il vero titolare dell'account cliente, ad esempio nei casi in cui un conto sia stato compromesso;
- laddove OneTrust identifichi attività illecite o dannose oppure sospetti tali attività relativamente all'account di un cliente, potrebbe informare le autorità competenti, ad esempio in caso di hacking.