SurveyMonkey fornisce i propri servizi in tutto il mondo avvalendosi dei propri subincaricati globali. Nel contratto che stipuliamo con il cliente, ci impegniamo a garantire che ogni trasferimento di dati personali sia conforme alla legislazione sulla protezione dei dati. I dati personali dei clienti vengono trasferiti esclusivamente a subincaricati che ne garantiscono la protezione con misure di sicurezza tanto rigorose quanto quelle che applichiamo ai dati personali sotto il nostro controllo.

Inoltre, le misure supplementari che abbiamo adottato sono in linea con la sentenza del 16 luglio 2020 della Corte di giustizia dell'UE ("CGUE") nella causa C-311/18, Data Protection Commissioner vs Facebook Ireland Limited and Maximilian Schrems ("Schrems II") e con la Guida alle misure supplementari del Comitato europeo per la protezione dei dati ("EDPB"). Di seguito sono riportate informazioni dettagliate.

Per ulteriori informazioni generali sulle modalità di trattamento dei dati, consultare la nostra Informativa sulla privacy.

Parte I: Trasferimenti a SurveyMonkey

Parte II: Trasferimenti successivi ai subincaricati

I contratti dei clienti statunitensi includeranno un addendum sulla protezione dei dati (“DPA”) con l'entità statunitense di SurveyMonkey: SurveyMonkey Inc. I clienti Enterprise con utenti nello Spazio economico europeo (“SEE”), nel Regno Unito (“UK”) o in Svizzera che necessitano di un meccanismo per il trasferimento dei dati degli utenti a SurveyMonkey, possono richiedere l'aggiunta di meccanismi di trasferimento adeguati. Per i clienti self-service, il nostro DPA online contiene automaticamente questi meccanismi di trasferimento.

In aggiunta alle Clausole Contrattuali Standard (“CCS”), SurveyMonkey Inc. autocertifica la propria conformità al quadro normativo Data Privacy Framework (DPF) UE-USA, all'estensione per il Regno Unito del DPF UE-USA e dei principi del DPF Svizzera-USA. Questo significa che le autorità europee, britanniche e svizzere preposte alla protezione dei dati hanno ritenuto il nostro trattamento “adeguato” ai sensi dell'articolo 45(3) del GDPR (e delle legislazioni nazionali corrispondenti).

I contratti dei clienti con sede nello Spazio economico europeo, nel Regno Unito o in Svizzera includeranno un addendum sulla protezione dei dati ("DPA") con l'entità irlandese di SurveyMonkey: SurveyMonkey Europe UC. Poiché il trasferimento dal cliente a SurveyMonkey avviene tra entità europee (o che hanno riconosciuto lo status di adeguatezza reciproca), non sono richiesti altri meccanismi di trasferimento.

Se il cliente risiede al di fuori degli Stati Uniti, dello Spazio economico europeo, del Regno Unito o della Svizzera, ma ha utenti nello Spazio economico europeo, nel Regno Unito o in Svizzera e deve garantire un meccanismo di trasferimento per il trasferimento successivo, il suo contratto includerà un DPA con l'entità irlandese di SurveyMonkey, SurveyMonkey Europe UC. I clienti Enterprise potranno richiedere l'aggiunta di un meccanismo di trasferimento adeguato. Per i clienti self-service, il nostro DPA online contiene automaticamente questi meccanismi di trasferimento.

L'utente trasferisce i dati personali a SurveyMonkey affinché questi vengano elaborati per le seguenti finalità:

Occorre valutare se i dati vengono trasferiti per scopi diversi.

I dati personali del cliente trasferiti a SurveyMonkey possono contenere la quantità di dati personali che il cliente decide di raccogliere nelle domande di indagini, moduli e questionari. Considerata la natura della piattaforma, supponiamo che venga raccolta una grande varietà di dati personali, compresi potenziali dati di categoria speciale. 

I dati raccolti sono specificati nella sezione 2 della nostra Informativa sulla privacy.

Come indicato in precedenza, il cliente stipulerà un contratto con un'entità SurveyMonkey negli Stati Uniti o in Irlanda, a seconda della sua ubicazione. Sulla base dei consigli di consulenti esterni specializzati nella protezione dei dati e dell'analisi delle leggi a cui SurveyMonkey è soggetta, riteniamo che il rischio associato al regime giuridico degli Stati Uniti sia basso e che il rischio associato al regime giuridico dell'Irlanda non comporti rischi materiali per il soggetto interessato. Fare riferimento alla sezione "Misure supplementari: organizzative" per ulteriori informazioni sulla legge statunitense.

Anche nei casi in cui il rischio materiale è basso o nullo a causa del regime giuridico del paese di destinazione, SurveyMonkey ha implementato misure supplementari per salvaguardare ulteriormente i dati personali. Le misure supplementari sono suddivise in tre categorie: (i) contrattuali; (ii) organizzative e (iii) tecniche. 

Come descritto in precedenza, SurveyMonkey accetterà di stipulare CCS con i clienti. La sentenza Schrems II indica che le parti possono utilizzare le CCS e (se del caso) garanzie aggiuntive per il trasferimento di dati personali dal Regno Unito, dalla Svizzera e dallo Spazio economico europeo ("Dati europei") agli Stati Uniti. Se il cliente ha stipulato un contratto con SurveyMonkey o sta altrimenti ricevendo servizi da SurveyMonkey che richiederanno a SurveyMonkey di trattare i dati personali di soggetti europei, SurveyMonkey (come appropriato a seconda dell'entità SurveyMonkey con cui si sta stipulando il contratto): 

Per ulteriori informazioni sul contratto vincolato dalle Clausole contrattuali standard, consultare le Condizioni di utilizzo (per i clienti self-service), il Contratto sui servizi applicabile (per i clienti SurveyMonkey Enterprise o GetFeedback Digital), o altro contratto eventualmente negoziato con SurveyMonkey.

Le preoccupazioni della CGUE in merito ai trasferimenti di dati verso gli Stati Uniti si basavano sulla raccolta di dati da parte del governo statunitense ai sensi dell'Ordine Esecutivo 12333 ("EO 12333") e della Sezione 702 del Foreign Intelligence Surveillance Act ("FISA 702"), in particolare sulla sorveglianza "a monte" ai sensi del FISA 702.  I rischi posti da queste disposizioni legali statunitensi non si applicano al trattamento dei dati personali da parte di SurveyMonkey o possono essere sufficientemente attenuati dalle garanzie organizzative offerte da SurveyMonkey.

Inoltre, in data 10 luglio 2023, la Commissione europea ha adottato la decisione di adeguatezza per il quadro normativo EU-U.S. Data Privacy Framework (DPF). Tale decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato, paragonabile a quello dell'Unione europea, per i dati personali trasferiti dalla UE ad aziende statunitensi che aderiscono al DPF EU-U.S.

La decisione di adeguatezza fa seguito alla firma da parte degli USA di un ordine esecutivo finalizzato al rafforzamento delle tutele per le attività di intelligence degli Stati Uniti, con il quale vengono introdotte nuove misure di salvaguardia vincolanti in risposta alle questioni sollevate dalla Corte di giustizia dell'Unione europea nella sentenza Schrems II del luglio 2020. In particolare, i nuovi obblighi sono stati concepiti per garantire che le agenzie di intelligence statunitensi possano accedere ai dati solo in misura necessaria e proporzionata, e per istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami dei cittadini europei relativi alla raccolta dei loro dati a fini di sicurezza nazionale (vedere: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey non può ricevere ordini di sorveglianza "a monte" o di massa ai sensi del FISA 702. SurveyMonkey Inc. agisce, in parte, come servizio di comunicazione elettronica ("ECS") e potenzialmente anche come servizio di elaborazione remota ("RCS") (come definito rispettivamente nelle sezioni 2510 e 2711 del titolo 18 USC) in relazione a determinati servizi o funzionalità dei prodotti che forniamo ai clienti.  SurveyMonkey Inc. fa quindi parte del nutrito gruppo di aziende a cui il governo degli Stati Uniti potrebbe rivolgere una direttiva mirata ai sensi del FISA 702.  Tuttavia, in base all'interpretazione e all'applicazione del FISA 702 da parte del governo degli Stati Uniti, SurveyMonkey non è idonea a ricevere il tipo di ordine che è stato il principale motivo di preoccupazione per la CGUE nella sentenza Schrems II, ovvero un ordine del FISA 702 per la sorveglianza "a monte".  Nell'applicazione del FISA 702, il governo degli Stati Uniti utilizza gli ordini a monte solo per gestire il traffico che passa attraverso i fornitori di backbone Internet che trasportano il traffico Internet per conto di terzi, ovvero i vettori di telecomunicazioni.  Ad esempio, si veda il rapporto del Privacy and Civil Liberties Oversight Board, "Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act" (2 luglio 2014), pp. 35-40, disponibile all'indirizzo https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey non fornisce tali servizi di backbone Internet, in quanto trasporta solo il traffico dei propri clienti.  Di conseguenza, non siamo idonei a ricevere il tipo di ordine principalmente trattato e ritenuto problematico dalla sentenza Schrems II.

SurveyMonkey non ha ricevuto alcuna direttiva ai sensi del FISA 702 ed è improbabile che ne riceva. Alla data della presente dichiarazione, SurveyMonkey non ha ricevuto alcuna direttiva ai sensi del FISA 702 e non ha motivo di credere che una tale direttiva sarà rivolta a SurveyMonkey.  È altamente improbabile che i dati personali elaborati da SurveyMonkey per i propri clienti (dati di feedback) siano rilevanti per le attività di intelligence estere disciplinate dal FISA 702.  Inoltre, nel caso in cui tali dati personali fossero rilevanti per un'indagine di questo tipo, è più probabile che il governo li cerchi attraverso altre forme di procedura legale (come un mandato di perquisizione approvato da un giudice) che soddisfino gli elevati standard per l'accesso del governo ai dati descritti nella sentenza Schrems II.  Questo perché sarebbe molto più veloce e facile per il governo richiedere un ordine o un mandato in base a qualcosa di diverso dal FISA 702, piuttosto che mettere in atto i meccanismi necessari al governo per notificare le direttive a SurveyMonkey in base al FISA 702.

SurveyMonkey non assiste - e non le può essere ordinato di assistere - le autorità statunitensi nella raccolta di informazioni ai sensi dell'ordine esecutivo 12333. SurveyMonkey non fornisce e non fornirà alcuna assistenza alle autorità statunitensi che effettuano attività di sorveglianza ai sensi dell'EO 12333.  L'EO 12333 non dà al governo degli Stati Uniti la possibilità di obbligare le aziende a fornire assistenza per queste attività e SurveyMonkey non lo farà volontariamente.  Di conseguenza, SurveyMonkey non intraprende, né può ricevere ordine di intraprendere, alcuna azione per facilitare il tipo di sorveglianza di massa ai sensi dell'EO 12333 che la sentenza Schrems II ha ritenuto problematica.

SurveyMonkey fornisce una serie di misure tecniche che neutralizzano ulteriormente le carenze fondamentali citate nella sentenza Schrems II di cui sopra (sorveglianza di massa ai sensi del FISA 702 e intercettazioni di massa ai sensi dell'EO 12333).  

SurveyMonkey esegue la crittografia di tutti i dati conservati presso i nostri data centre utilizzando la crittografia basata su AES 256. Inoltre, esegue la crittografia di tutti i dati in movimento utilizzando (i) RSA con certificati basati su chiavi da 2048 bit generati da un'autorità di certificazione pubblica, per comunicazioni con soggetti esterni ai nostri data centre, e (ii) certificati RSA 256 generati dall'autorità di certificazione interna, per tutti i dati all'interno del data centre. Queste operazioni di crittografia sono volte a prevenire l'acquisizione non autorizzata di dati in forma intelligibile e a prevenire intercettazioni/manomissioni non autorizzate quando i dati sono in transito tra due punti finali. 

Alcuni clienti SurveyMonkey, ad esempio i clienti di GetFeedback Digital, hanno i loro dati archiviati solo nell'Unione Europea. In questi casi, i dati non vengono archiviati negli Stati Uniti e l'accesso a tali dati negli Stati Uniti è minimo e per scopi limitati, ad esempio per fornire assistenza su richiesta ai clienti, per garantire un servizio di supporto alla sicurezza ininterrotto e/o in caso di risorse tecniche limitate per risolvere problemi tecnici/bug o per costruire sistemi.

SurveyMonkey si attiene inoltre a rigorose procedure amministrative, tecniche e fisiche per proteggere le informazioni archiviate sui propri server. L'accesso alle informazioni personali è possibile tramite credenziali di accesso ed è limitato ai dipendenti che ne hanno bisogno per svolgere le proprie funzioni lavorative. SurveyMonkey implementa tecniche di minimizzazione dei dati per limitare la quantità di dati personali trasferiti dall'UE a giurisdizioni terze, includendo, ove opportuno, la pseudonimizzazione o la deidentificazione dei dati. Inoltre, SurveyMonkey utilizza controlli di accesso come l'autenticazione a più fattori, il Single Sign-On, l'accesso su base occasionale, il controllo delle password e l'accesso limitato agli account amministrativi.  

Inoltre, in quanto servizio ECS/RCS, SurveyMonkey è soggetta all'Electronic Communications Privacy Act degli Stati Uniti, 18 USC. § 2701 e seguenti  ("ECPA"), che fornisce protezione ai clienti di SurveyMonkey.  Ad esempio, l'ECPA vieta agli enti governativi di richiedere informazioni sui clienti di servizi come SurveyMonkey, a meno che tali enti governativi non ottengano prima un procedimento legale appropriato, tra cui un ordine del tribunale o un mandato di perquisizione per informazioni diverse da quelle di base degli abbonati.  Allo stesso modo, sia il FISA che l'ECPA offrono ai clienti di SurveyMonkey la possibilità di ricorrere contro il governo degli Stati Uniti (anche con la richiesta di indennizzi pecuniari o azioni disciplinari contro le autorità governative competenti) nel caso in cui questo ottenga impropriamente informazioni su di loro (cfr. 18 USC. § 2712).

Inoltre, il consulente legale esterno di SurveyMonkey ha una lunga esperienza nel rispondere alle richieste governative statunitensi circa i dati degli utenti, comprese le richieste di sicurezza nazionale degli Stati Uniti ai sensi del FISA 702.  La politica di SurveyMonkey prevede l'inoltro di tali richieste al team di conformità interno di SurveyMonkey e, se necessario, a un consulente legale esterno per la revisione.  Se del caso, SurveyMonkey intende utilizzare i meccanismi legali disponibili per contestare le richieste di accesso ai dati utilizzando il FISA 702 (comprese le disposizioni di non divulgazione o gli ordini ad esso collegati) nell'improbabile caso in cui SurveyMonkey riceva una tale richiesta.  La richiesta verrebbe poi esaminata da un tribunale statunitense ("Corte FISA"). 

SurveyMonkey riconosce inoltre che un ordine di fornire l'accesso ai dati ai sensi del FISA 702 richiederebbe a SurveyMonkey di notificare ai nostri clienti che non siamo più in grado di rispettare le Clausole contrattuali standard, consentendo loro di rescindere il loro accordo con noi e di sospendere i flussi di dati verso di noi.  Non abbiamo mai avuto bisogno di produrre un tale avviso.

Tenendo conto dell'analisi di cui sopra, riteniamo che il rischio di danno per l'interessato non sia materiale.

La tabella seguente riassume le conclusioni della nostra valutazione dell'impatto del trasferimento.

Il “rischio non sostanziale” riguarda il trasferimento di dati personali tra due entità con sede entrambe all'interno dello Spazio economico europeo (SEE).

Con “basso rischio” si intende che l'importatore/il paese di destinazione è esterno al SEE, ma il trasferimento avviene tramite un meccanismo approvato dal GDPR e con l'applicazione di misure aggiuntive. Eventuali rischi residui individuati nella TIA sono stati mitigati.

Con “rischio medio” si intende che l'importatore/il paese di destinazione è esterno al SEE, ma il trasferimento avviene tramite un meccanismo approvato dal GDPR e con l'applicazione di misure aggiuntive. Permangono ancora alcuni rischi residui individuati nella TIA.

Con “alto rischio” si intende che l'importatore/il paese di destinazione è esterno al SEE, ma il trasferimento avviene tramite un meccanismo approvato dal GDPR e con l'applicazione di misure aggiuntive. Permangono ancora significativi rischi residui individuati nella TIA.

I subincaricati sono fornitori di SurveyMonkey che elaborano i dati personali degli utenti per aiutare SurveyMonkey a fornire il servizio al cliente. Tutti i subincaricati di SurveyMonkey sono tenuti per contratto a proteggere i dati personali con misure di sicurezza non meno onerose degli standard che applichiamo ai dati personali sotto il nostro controllo.

Quando SurveyMonkey trasferisce i dati personali ai subincaricati, conduce una valutazione dell'impatto del trasferimento ("TIA") simile alle fasi sopra descritte. Questo per garantire che i dati personali siano protetti in ogni fase, come richiesto dalla legge sulla protezione dei dati e dal contratto stipulato con il cliente. Di seguito riportiamo una sintesi dei punti salienti del TIA per ciascun subincaricato.

Tieni presente che non tutti i subincaricati sono utilizzati nella fornitura di tutti i nostri servizi. Il nostro elenco di subincaricati è segmentato in base ai servizi specifici di SurveyMonkey. 

Se si desidera ricevere notifiche via email relative agli aggiornamenti del nostro elenco di subincaricati, iscriversi qui.

È possibile scaricare l'elenco dei nostri attuali subincaricati in formato PDF qui.