Linee guida di Atlassian per le richieste delle autorità preposte all'applicazione della legge

Policy aggiornata valida a partire dal 5 novembre 2021

Policy di Atlassian sulla risposta alle richieste delle autorità statali o preposte all'applicazione della legge

Atlassian fornisce strumenti software che consentono ai team di collaborare in un ambiente di piattaforma online. Queste linee guida forniscono informazioni per i funzionari delle autorità preposte all'applicazione della legge richiedenti i record degli account e i contenuti dei clienti ("Informazioni dei clienti") del servizio in risposta a procedimenti legali validi, in linea con le relative Informativa sulla privacy e policy sull'utilizzo accettabile. Atlassian rispetta le regole e le leggi della giurisdizione in cui opera, nonché la privacy e i diritti dei suoi clienti. Di conseguenza, può fornire le Informazioni dei clienti in risposta alle richieste delle autorità preposte all'applicazione della legge o di altre autorità statali solo quando ritiene di avere ragionevolmente un obbligo legale in tal senso. Per proteggere i diritti dei clienti, Atlassian esamina attentamente le richieste per assicurarsi che siano conformi alla legge e rientrino nei poteri dell'autorità o delle forze dell'ordine richiedenti.

Per ottenere le Informazioni dei clienti da Atlassian, i funzionari delle autorità statali e preposte all'applicazione della legge devono esibire un documento legale appropriato per il tipo di informazioni richieste, come una citazione a comparire, un'ordinanza del tribunale o un mandato. Ad esempio, Atlassian non fornirà contenuti non pubblici dei clienti salvo presentazione di un mandato di perquisizione valido, emesso a seguito di un fondato motivo da un tribunale federale o statale autorizzato a emettere mandati di perquisizione, che imponga all'imputato di divulgare il contenuto. Consulta queste linee guida prima di inviare ad Atlassian una richiesta delle autorità preposte all'applicazione della legge.

Atlassian verifica tutte le richieste di dati da parte degli organismi amministrativi: interpreta rigorosamente le richieste di dati e cerca di limitare o opporsi alle richieste troppo ampie, che richiedono una grande quantità di informazioni o che riguardano un numero elevato di utenti. Inoltre, si oppone ai casi in cui la fornitura di tali dati è vietata o se la procedura in questione è insufficiente per obbligare alla condivisione di dati richiesti ai sensi dell'Electronic Communications Privacy Act, 18 U.S.C. § 2701, e seguenti o di altre leggi applicabili. Atlassian si riserva il diritto di presentare ricorso contro qualsiasi richiesta di informazioni, ove possibile, e non divulgherà le informazioni richieste fino a quando non sarà richiesto in base alle norme procedurali applicabili.

Queste linee guida costituiscono una risorsa informativa e non creano obblighi o rinuncia a qualsiasi obiezione riguardante il modo in cui si risponderà a una richiesta o a un caso specifico. Atlassian si riserva il diritto di chiedere il rimborso dei costi associati alla risposta alle richieste di dati delle autorità statali o delle forze dell'ordine, se necessario.


Policy sul preavviso per gli utenti

La policy di Atlassian è quella di informare i clienti delle richieste di informazioni e fornire loro l'opportunità di opporsi alla divulgazione 7-10 giorni prima della produzione delle stesse, a meno che tale notifica non sia vietata dalla legge (incluso il caso in cui Atlassian non sia stata in grado o non abbia avuto successo nell'ottenere una rinuncia a tale divieto). Atlassian può, a sua discrezione, ridurre il periodo di preavviso, ma in genere agisce in tal senso solo in situazioni di emergenza. Per esempio, qualora ritengano che la notifica possa compromettere un'indagine, le autorità statali o preposte all'applicazione della legge devono ottenere un'ordinanza del tribunale appropriata o altro documento che vieti espressamente la notifica al cliente, ad esempio un ordine emesso ai sensi dell'articolo 18 U.S.C., par. 2705 (b).

Inoltre, se a seguito della richiesta Atlassian viene a conoscenza di una violazione in corso o di una precedente violazione della sua policy sull'utilizzo accettabile, intraprenderà le opportune misure per impedire ulteriori violazioni, inclusa la chiusura dell'account e altre azioni volte a comunicare all'utente che si è a conoscenza dell'illecito. Se ritieni in buona fede che l'adozione di tali azioni comprometta un'indagine in corso, puoi richiedere ad Atlassian di rimandare quest'azione. Atlassian valuterà tali richieste caso per caso. La presentazione della richiesta rientra nell'ambito delle responsabilità del funzionario delle autorità preposte all'applicazione della legge richiedente, in quanto la policy di Atlassian prevede l'applicazione dei suoi termini di utilizzo.


Risposta a una richiesta valida delle autorità preposte all'applicazione della legge e informazioni di contatto

Indirizzo e-mail per le domande delle autorità preposte all'applicazione della legge e per inviare procedimenti legali:

lawenforcement@atlassian.com

Indirizzo postale per le richieste delle autorità preposte all'applicazione della legge:

Atlassian Inc.
Attn: Legal Department
350 Bush Street, Floor 13
San Francisco, CA, 94104
Stati Uniti

Sebbene si accetti di ottemperare alle richieste delle autorità statali e preposte all'applicazione della legge effettuate con questi metodi, né Atlassian né i clienti rinunciano a qualsiasi diritto legale sulla base di tale accettazione.

Ogni richiesta deve includere le informazioni di contatto relative al funzionario delle autorità statali o preposte all'applicazione della legge autorizzato che presenta la richiesta, tra cui:

  • Nome dell'agenzia richiedente.
  • Nome e distintivo/numero di identificazione dell'agente richiedente.
  • Indirizzo e-mail rilasciato dal datore di lavoro dell'agente richiedente
  • Numero di telefono dell'agente richiedente, incluso l'eventuale interno.
  • Indirizzo di posta dell'agente richiedente (non sono accettate caselle postali).
  • data di risposta richiesta (vedi i dettagli riportati di seguito per le richieste di emergenza).

Le richieste che prevedono la presenza di testimoni devono essere presentate personalmente al nostro agente notificatore registrato. Non accettiamo tali richieste di persona o tramite e-mail.


Informazioni disponibili relative ai clienti Atlassian

Atlassian offre sulla propria piattaforma una serie di strumenti software che contengono Informazioni dei clienti. Inoltre, mantiene determinate Informazioni dei clienti nei sistemi interni nell'ambito dei normali processi aziendali. Atlassian esaminerà e risponderà alle richieste relative alle Informazioni dei clienti solo a seguito di una richiesta da parte degli organismi amministrativi valida e applicabile, di un ordine e/o mandato del tribunale, a seconda del tipo di informazioni richieste, che Atlassian stabilisce siano state effettuate nell'ambito di competenza dell'autorità richiedente o dell'organo preposto all'applicazione della legge.

Le categorie di Informazioni dei clienti che possono essere rese disponibili a seguito di richieste delle autorità preposte all'applicazione della legge relative a informazioni di base sull'account del cliente includono, ad esempio, indirizzo e-mail, nome, numero di telefono, nome utente e/o informazioni di contatto di fatturazione (in relazione ad account a pagamento). Possono essere disponibili ulteriori informazioni relative agli indirizzi IP, ai record transazionali e ad altri record del cliente.

Le categorie di Informazioni dei clienti che possono essere rese disponibili ai richiedenti delle autorità preposte all'applicazione della legge dipendono dal prodotto Atlassian utilizzato dal cliente su cui le forze dell'ordine richiedono informazioni. Invitiamo i funzionari delle autorità preposte all'applicazione della legge che effettuano una richiesta di Informazioni dei clienti Atlassian a leggere le descrizioni dei nostri prodotti prima di preparare la procedura legale e di inviare la richiesta, l'ordine o il mandato. Ad esempio, Trello consente ai team di organizzare le informazioni. Le Informazioni dei clienti disponibili per Trello possono includere, oltre alle informazioni di base dell'account, informazioni sull'accesso IP, informazioni sui membri del Consiglio di amministrazione e/o contenuti. Bitbucket, ad esempio, facilita la collaborazione dei team durante lo sviluppo di codice. Le Informazioni dei clienti disponibili per Bitbucket possono includere, oltre alle informazioni di base dei clienti, le date in cui l'utente ha creato l'account Bitbucket e in cui ha effettuato per l'ultima volta l'accesso a tale account, gli indirizzi IP associati agli accessi a un account utente, team di appartenenza e codice sorgente (contenuto) archiviati in un repository Bitbucket.


Richieste di conservazione da parte delle autorità preposte all'applicazione della legge

Atlassian conserverà le Informazioni dei clienti per 90 giorni dal ricevimento di una richiesta valida delle autorità preposte all'applicazione della legge. Atlassian conserverà le informazioni per un ulteriore periodo di 90 giorni al ricevimento di una richiesta valida di estensione del periodo di conservazione. Qualora Atlassian non riceva un procedimento legale formale per le informazioni conservate prima della fine del periodo di conservazione, le informazioni conservate possono essere eliminate allo scadere di tale periodo.

Le richieste di conservazione devono essere inviate su carta intestata ufficiale delle autorità preposte all'applicazione della legge e firmate da un loro funzionario; inoltre, devono includere:

  • Le informazioni dell'account identificate di seguito relative al cliente per il quale viene inviata la richiesta di conservazione.
  • Un indirizzo e-mail valido per il reso.
  • Una dichiarazione in cui si afferma che si stanno adottando misure per ottenere un ordine del tribunale o altro procedimento legale per i dati di cui viene richiesta la conservazione.

Le richieste di conservazione possono essere inviate alle informazioni di contatto (indirizzo postale o account e-mail) indicate sopra.


Come richiedere Informazioni dei clienti Atlassian

Le autorità preposte all'applicazione della legge che fanno richiesta di Informazioni dei clienti devono fornire tutte le seguenti informazioni nella maggior misura possibile. La disponibilità delle seguenti informazioni identificative consentirà ad Atlassian di rispondere in modo efficace e tempestivo:

  • Informazioni di base sull'account del cliente (sistemi Atlassian): nome utente, indirizzo e-mail, URL, SEN (Support Entitlement Number )
  • Informazioni dei clienti che riguardano i prodotti Atlassian:
  • Informazioni sul prodotto Atlassian da includere nella richiesta delle autorità preposte all'applicazione della legge
    • Bamboo
      Indirizzo e-mail
    • Bitbucket Cloud
      Nome utente, nome del team, indirizzo e-mail e/o URL del repository
    • Confluence
      ID utente, indirizzo e-mail, indirizzo IP, URL, SEN
    • Crucible
      Indirizzo e-mail
    • Fisheye
      Indirizzo e-mail
    • Jira (Core, Service Management o Software)
      Nome utente, indirizzo e-mail, URL, SEN
    • Sourcetree
      Indirizzo e-mail
    • Statuspage
      Indirizzo e-mail, URL della pagina di stato
    • Trello
      Nome utente, indirizzo e-mail, URL (per le bacheche)

Richieste delle autorità internazionali e preposte all'applicazione della legge

La legge statunitense autorizza Atlassian a rispondere alle richieste relative alle Informazioni dei clienti da parte di autorità straniere preposte all'applicazione della legge emesse tramite un tribunale statunitense per mezzo di una richiesta o rogatoria ai sensi di un trattato bilaterale di assistenza giudiziaria (Mutual Legal Assistance Treaty, MLAT). Rientra nella policy rispondere a tali richieste effettuate dal tribunale degli Stati Uniti solo quando sono adeguatamente notificate, circoscritte all'ambito di giurisdizione dell'autorità o dell'agenzia richiedente e in conformità con il procedimento legale applicabile. Atlassian valuterà le richieste di emergenza da parte delle autorità preposte all'applicazione della legge caso per caso, in conformità alla legge statunitense e alle leggi di altri paesi, se applicabile. Le richieste di emergenza possono essere presentate direttamente ad Atlassian attraverso la procedura descritta di seguito.


Richieste di emergenza

Atlassian valuta le richieste di emergenza caso per caso. Se fornisci informazioni tali da farci ritenere in buona fede che sussista una situazione di emergenza in grado di causare un imminente pericolo di morte o lesioni fisiche gravi a qualsiasi persona, possiamo fornire le informazioni necessarie per prevenire tale danno se siamo nella posizione di agire in tal senso, nel rispetto della legge applicabile.

Le richieste di emergenza possono essere inviate tramite e-mail all'indirizzo lawenforcement@atlassian.com con l'oggetto "Richiesta di divulgazione per situazione di emergenza" e completando e inviando questo modulo.