OneTrust non divulga volontariamente i dati personali dei clienti alle autorità governative né concede loro altrimenti l'accesso a tali dati. Inoltre, OneTrust non ha creato (né creerà intenzionalmente) backdoor per consentire agli attori governativi di accedere a dati o sistemi informatici, e non ha modificato (né modificherà intenzionalmente) i propri processi in modo da facilitare l'accesso governativo ai dati.
Tuttavia, OneTrust può ricevere una citazione in giudizio, un'ingiunzione, un mandato o un altro ordine del tribunale legalmente vincolante da un'autorità governativa richiedente la divulgazione dei dati personali di un cliente. OneTrust fornirà i dati del cliente richiesti esclusivamente in risposta a un processo legale formale e valido. Laddove OneTrust riceva tale richiesta, affiderà al proprio team legale la revisione della stessa per garantire che soddisfi i requisiti legali applicabili. Qualora l'assessment legale riscontrasse motivazioni legittime e lecite per contestare la richiesta, OneTrust procederà a farlo ove appropriato. La policy di OneTrust prevede di interpretare tali richieste pedissequamente per limitare l'ambito dei dati personali forniti.
Affinché OneTrust divulghi i dati dei clienti, la richiesta deve soddisfare anche i seguenti criteri:
- Essere redatta per iscritto e su carta intestata ufficiale;
- Identificare ed essere firmata da un funzionario autorizzato della parte richiedente e fornire informazioni di contatto ufficiali, compreso un indirizzo e-mail valido;
- Indicare il motivo e la natura della richiesta;
- Identificare il cliente o l'account del cliente oggetto della richiesta;
- Descrivere con specificità le informazioni/i dati richiesti e il relativo rapporto con l'indagine; e
- Essere emessa e notificata in conformità alla legge vigente.
Laddove OneTrust riceva una richiesta legalmente vincolante per i dati personali di un cliente, la policy di OneTrust prevede di informare il cliente via e-mail prima di divulgare qualsiasi informazione. Nella misura consentita dalla richiesta e/o dalla legge vigente, la notifica descriverà i dati personali richiesti, l'autorità che ha presentato la richiesta, la base giuridica della stessa ed eventuali risposte già fornite. Tale notifica offre al cliente l'opportunità di perseguire un rimedio legale, come la presentazione di un'obiezione a un tribunale o all'autorità richiedente.
Eccezioni alla policy di OneTrust per le richieste di dati personali da parte delle autorità governative:
- Uno statuto, un'ordinanza del tribunale o normative di altro tipo possono vietare a OneTrust di informare il cliente relativamente alla richiesta, ma OneTrust compirà ogni ragionevole sforzo per ottenere una rinuncia al divieto o fornire informazioni una volta terminato il requisito di divieto.
- OneTrust potrebbe non informare il cliente in circostanze eccezionali, come quelle che comportano un imminente pericolo di morte o gravi lesioni fisiche a persone, o per prevenire danni ai servizi di OneTrust.
- OneTrust potrebbe non informare il cliente nel caso in cui abbia motivo di credere che l'informativa non verrebbe ricevuta dall'effettivo titolare dell'account cliente, ad esempio, nel caso in cui un account sia stato compromesso.
- Laddove OneTrust identifichi attività illecite o dannose oppure sospetti tali attività relativamente all'account di un cliente, potrebbe informare le autorità competenti, ad esempio in caso di hacking.