Zscaler e il GDPR

Introduzione

Il Regolamento generale sulla protezione dei dati (GDPR) (Regolamento (UE) 2016/679), entrato in vigore il 25 maggio 2018, è un regolamento tramite cui il Parlamento Europeo, il Consiglio Europeo e la Commissione Europea intendono rafforzare e unificare la protezione dati per gli individui all'interno dell'Unione Europea (UE). Tratta inoltre il trasferimento di dati personali al di fuori dell'UE. Gli obiettivi principali del GDPR sono (i) aumentare la protezione dei dati personali nell'UE e (ii) semplificare il contesto normativo per le attività internazionali, imponendo requisiti uniformi per la protezione dati a tutti i membri dell'UE.

Il GDPR sostituisce la Direttiva sulla protezione dati (ufficialmente Direttiva 95/46/CE) adottata nel 1995. Il GDPR rappresenta un cambiamento significativo nell'ambito della privacy dei dati all'interno dell'UE e assegna in modo più chiaro la responsabilità tra il controllore dei dati (i clienti e partner di Zscaler) e il responsabile del trattamento dei dati (Zscaler) riguardo l'elaborazione dei dati personali. In base al GDPR, sia il controllore che il responsabile del trattamento dei dati sono soggetti a ulteriori doveri e obblighi per proteggere i dati personali ed entrambi sono chiamati a rispondere di eventuali responsabilità in caso di mancata conformità ai requisiti del GDPR.

Zscaler si impegna per il successo dei propri clienti, compresa la conformità al GDPR. Il GDPR richiede una più stretta collaborazione tra Zscaler e i propri clienti nell'uso dei propri servizi e prodotti. Zscaler ha analizzato attentamente i requisiti del GDPR e ha migliorato i propri servizi, prodotti, documentazione e contratti per favorire la propria conformità al GDPR. Inoltre, Zscaler si dedica ad assistere i propri clienti nel loro impegno a rispettare la conformità al GDPR.

Per aiutare i nostri clienti a essere conformi al GDPR, abbiamo compilato un'esaustiva “Tabella delle responsabilità del controllore e del responsabile del trattamento che indica gli obblighi del cliente come controllore dei dati rispetto a quelli di Zscaler come responsabile del trattamento dei dati. Questa tabella è uno strumento utile per i nostri clienti, per capire meglio che cosa devono fare esattamente per rispettare il GDPR e che cosa possono aspettarsi da Zscaler.

Conformità di Zscaler al GDPR

In qualità di fornitore di sicurezza come servizio, la protezione dati è il fulcro dell'attività di Zscaler, che considera molto seriamente questo aspetto. Zscaler si impegna costantemente a proteggere i dati personali nel rispetto dei più alti standard in materia di privacy e sicurezza. Di seguito presentiamo una sintesi di alto livello della conformità di Zscaler, con diverse aree chiave del GDPR.

In che modo Zscaler garantisce contrattualmente la propria conformità al GDPR?
  • Accordo sul trattamento dei dati (DPA) aggiornato: Zscaler ha aggiornato il proprio DPA in base ai requisiti del GDPR. Questa versione aggiornata del DPA contiene ulteriori regole contrattuali per assistere i nostri clienti a rispettare la propria conformità al GDPR. È possibile scaricare il DPA pre-firmato al seguente link e seguire le istruzioni a pagina 1 per renderlo esecutivo. Inoltre, qui di seguito si trova anche un'utile Lettera di presentazione del DPA che abbiamo redatto per assisterti nella revisione del nostro DPA.
  • In qualità di responsabile del trattamento dei dati, Zscaler elaborerà solamente i dati personali per conto del controllore dei dati e previa autorizzazione scritta da parte del controllore dei dati (ovvero mediante un contratto o un ordine, con i dettagli di tali istruzioni specificati dal DPA).
  • Inoltre, abbiamo sottoscritto accordi scritti, in base a quanto stabilito dall'Articolo 28(4) del GDPR, con tutti i sub-responsabili del trattamento e siamo responsabili degli atti e omissioni di tali sub-responsabili del trattamento. Tra i nostri sforzi rivolti alla dovuta diligenza, garantiamo che tutti i nostri sub-responsabili del trattamento continuino a rispettare le leggi in materia di protezione dati.
Accordo pre-firmato sul trattamento dei dati di Zscaler (DPA) e Lettera di presentazione del DPA
Quali sono i processi adottati da Zscaler per proteggere i dati personali?
  • Zscaler garantisce la riservatezza e la disponibilità dei dati personali oggetto del trattamento e che vengano applicate adeguate misure tecniche e organizzative per proteggere tali dati personali. 
  • Zscaler presume che i propri clienti e partner, in qualità di controllori dei dati, notifichino i propri lavoratori e utenti (ovvero i soggetti dei dati) riguardo all'elaborazione effettuata da parte di Zscaler e che ottengano l'apposito consenso.
  • Zscaler elabora e/o archivia solamente una quantità limitata di dati personali (ad es. indirizzi IP, URL, ID utente, gruppi di utenti e reparti dalle directory aziendali). Consulta la seguente sezione per consultare alcune delle misure di sicurezza implementate per proteggere tali dati. 
  • Con l'obiettivo di minimizzare i dati, Zscaler non elabora o archivia dati personali che non siano necessari per fornire i servizi stipulati per conto del controllore dei dati. Inoltre, i dati personali non verranno diffusi, resi disponibili o altrimenti utilizzati per scopi diversi dalla fornitura dei servizi stipulati per conto del controllore dei dati, ad eccezione di quanto stabilito dalla legge.
  • Durante il processo di distribuzione, i Clienti possono decidere di far archiviare i propri Registri-cliente solamente nell'UE (Germania e Paesi Bassi) e in Svizzera. Zscaler conserva i Registri del cliente nella propria infrastruttura cloud per un periodo continuativo di un massimo di sei mesi, in base al prodotto, dopodiché i Registri del cliente vengono cancellati in modo sicuro. Inoltre, per una quota aggiuntiva, i clienti possono archiviare nelle proprie sedi i propri Customer Logs, in server gestiti da Zscaler (Servizio di streaming Nanolog), per tutto il tempo che desiderano. Al termine o alla scadenza del contratto, i Registri del cliente vengono cancellati in seguito al ciclo di conservazione di sei mesi (o in data precedente), o previa richiesta scritta da parte del controllore dei dati.
  • Tutti i trasferimenti di dati al di fuori dell'Area Economica Europea (AEE) verranno effettuati esclusivamente allo scopo di offrire i servizi stipulati al controllore dei dati e saranno soggetti alle Clausole contrattuali standard dell'UE, a meno che i dati non vengano trasferiti a un paese con un adeguato livello di protezione, riconosciuto dalla Commissione Europea (attualmente tali paesi sono: Andorra, Argentina, Canada (solo organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Svizzera e Uruguay; per aggiornamenti consultare il sito https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en). 
  • Zscaler deve ottenere il consenso del controllore dei dati prima di coinvolgere qualsiasi sub-responsabile del trattamento, compreso l'eventuale consenso contrattuale o generale. Zscaler è ritenuta responsabile e passibile delle prestazioni dei propri sub-responsabili del trattamento. Zscaler mantiene una lista dei propri sub-responsabili del trattamento attuali su https://www.zscaler.com/legal/subprocessors.
  • Zscaler metterà a disposizione del controllore dei dati tutte le informazioni ragionevolmente necessarie a quest'ultimo per dimostrare la propria conformità al GDPR.
  • Zscaler è ritenuta responsabile e passibile di garantire la propria conformità al GDPR.
  • Zscaler fornirà la propria assistenza al controllore dei dati, affinché quest'ultimo rispetti i propri obblighi di conformità al GDPR, tenendo in considerazione la natura del trattamento e le informazioni a disposizione di Zscaler.
  • Zscaler consente ai propri clienti e partner di eseguire audit e ispezioni automatiche annuali del proprio cloud, previa comunicazione scritta e soggette a determinati requisiti e controlli messi in atto da Zscaler.
  • Zscaler informerà tempestivamente il controllore dei dati in caso di eventuali violazioni dei dati personali e fornirà a quest'ultimo la propria assistenza per la denuncia di tali violazioni alle forze dell'ordine e ai soggetti responsabili della tutela dei dati nell'UE.
Quali sono le misure di sicurezza implementate da Zscaler per proteggere i dati personali?
  • Zscaler protegge i dati personali attraverso sistemi di tutela della sicurezza, contro rischi come la perdita o l'accesso non autorizzato, la distruzione, l'uso, la modifica o la diffusione. Tutte le comunicazioni di traffico sul cloud di Zscaler vengono criptate e, inoltre, i dati vengono resi anonimi, associati a pseudonimi od offuscati ove tecnicamente possibile. Qui di seguito trovi alcune delle modalita' con cui aiutiamo i nostri clienti a ridurre al minimo la misura in cui avviene l'elaborazione dei dati da parte di Zscaler e con cui garantiamo che i dati elaborati siano al sicuro, grazie a una tecnologia all'avanguardia:
    • Per la maggior parte dei servizi e prodotti di Zscaler, il contenuto delle transazioni HTTP, HTTPS e non-HTTP non viene mai archiviato da Zscaler o scritto su disco: qualsiasi ispezione viene effettuata nella memoria.
    • Per i clienti che richiedono il prodotto cloud sandbox di Zscaler, il contenuto dannoso viene registrato su un disco di archiviazione; tuttavia, i clienti possono decidere quali file vengono inviati alla sandbox di Zscaler (in base a tipo di file, categoria URL, utente/gruppo, ecc.).
    • Per il software Zscaler Client Connector, i clienti sono in grado di abilitare o disabilitare a livello globale l'acquisizione di pacchetti tramite policies Zscaler e cancellarne i registri dal PC portatile, desktop, o dispositivo mobile personale applicabile.
    • Abilitare l'ispezione SSL non cambia la quantità limitata di dati elaborati o archiviati da Zscaler. Piuttosto, offre un livello aggiuntivo di protezione relativa alla sicurezza dalle minacce nascoste nel traffico criptato e fornisce un'ulteriore protezione ai lavoratori dei nostri clienti e agli altri utenti.
    • I clienti hanno la possibilita' di offuscare il proprio ID utente per impedirne la visualizzazione da parte dei team responsabili di Operazioni e Supporto o dai propri amministratori.
    • I registri delle transazioni dei clienti (Registri del cliente) vengono indicizzati, compressi e tokenizzati nel momento in cui vengono generati, il che garantisce che un singolo Registro del cliente sia privo di significato senza una stringa completa dello storico di Registri del cliente e l'accesso agli indici archiviati nella Central Authority (CA) di Zscaler. Perciò, anche con l'accesso ai dati archiviati, i dati personali non possono essere derivati senza l'interfaccia utente di Zscaler, che riunisce le informazioni dai Registri-cliente e dalla CA.
    • I Registri del cliente non vengono mai archiviati come testo in chiaro.
  • Poiché Zscaler gestisce un cloud multi-tenant, ha ottenuto la certificazione ISO 27001 sulla sicurezza delle informazioni, per mantenere controlli e procedure di sicurezza costanti e solidi per tutti i clienti sul proprio cloud. Inoltre, Zscaler segue gli standard SOC 2, Type II (System and Organization Controls), oltre a diverse altre certificazioni, come FedRAMP ISO 27018 o FIPS 140-2 (consultare il sito https://www.zscaler.com/privacy-compliance/compliance per ulteriori informazioni).
  • Oltre ad aderire ai principi ISO 27001, i data center globali di livello superiore utilizzati da Zscaler prendono altrettanto sul serio la sicurezza, ad esempio tramite altre protezioni, sofisticati sistemi di controllo degli accessi, doppia alimentazione con generatori di backup e videosorveglianza.
  • Zscaler impiega solide misure di sicurezza sul proprio cloud, come antivirus, firewall, scansione programmata delle vulnerabilità, test di penetrazione e la revisione tra pari dei codici di sicurezza.
  • L'infrastruttura cloud di Zscaler non è sensibile agli attacchi DDoS e viene monitorata 24 ore al giorno, 7 giorni su 7, 365 giorni all'anno.
  • Zscaler consente l'accesso ai dati personali esclusivamente al personale costituito da amministratori autorizzati con gli adeguati privilegi.
  • Tutti i membri del personale di Zscaler autorizzati a elaborare i dati personali si impegnano (tramite contratti di lavoro e accordi di riservatezza) a mantenere la riservatezza e la sicurezza dei dati personali.
  • Tramite la rete globale di data center di Zscaler e le funzionalità fail-over, Zscaler è in grado di garantire in modo continuo la riservatezza, integrità, disponibilità e resilienza dei propri sistemi e servizi di elaborazione, oltre a ripristinare la disponibilità e l'accesso in tempo reale ai dati personali in modo tempestivo, in caso di un eventuale incidente fisico o tecnico.
  • Zscaler dispone di una procedura interna per effettuare regolarmente test, valutazioni e calcoli sull'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione dei dati personali.
  • I dati personali elaborati da Zscaler per conto del controllore dei dati saranno accurati, completi e mantenuti aggiornati per quanto tecnicamente possibile.
Domande frequenti sul GDPR

Abbiamo riunito le seguenti Domande Frequenti per rispondere alle domande più comuni che riceviamo dai nostri clienti e partner riguardo la nostra piattaforma. 

 (1) Quali dati personali vengono archiviati e/o elaborati da Zscaler?

Zscaler archivia una quantità limitata di dati personali (ad es. indirizzi IP, URL, ID utente, gruppi di utenti e reparti dalle directory aziendali) e non elabora o archivia alcuna categoria speciale o sensibile di dati personali (ad es. carte di credito o informazioni sanitarie confidenziali). Inoltre, i clienti hanno l'opzione di offuscare il proprio ID utente per impedirne la visualizzazione da parte dei propri amministratori. 

Il personale di Supporto di Zscaler non accederà ai dati personali dei clienti, a meno che non riceva l'autorizzazione esplicita dal cliente stesso. 

Per la maggior parte dei servizi e prodotti di Zscaler, il contenuto delle transazioni HTTP, HTTPS e non-HTTP non viene mai archiviato da Zscaler o scritto su disco: qualsiasi ispezione viene effettuata nella memoria. 

Per i clienti che richiedono il prodotto cloud sandbox di Zscaler, il contenuto dannoso viene registrato su un disco di archiviazione; tuttavia, i clienti possono decidere quali file vengono inviati alla sandbox di Zscaler (in base a tipo di file, categoria URL, utente/gruppo, ecc.).

Per Zscaler Client Connector, i clienti sono in grado di abilitare o disabilitare a livello globale l'acquisizione di pacchetti tramite policies Zscaler e cancellarne i registri dal PC portatile, desktop, o dispositivo mobile personale applicabile.

I registri delle transazioni dei clienti (Registri del cliente) non vengono mai archiviati come testo in chiaro e vengono indicizzati, compressi e tokenizzati nel momento in cui vengono generati, il che garantisce che un singolo Registro-cliente sia privo di significato senza una stringa completa dello storico di Registri del cliente e l'accesso agli indici archiviati nella Central Authority (CA) di Zscaler. Perciò, anche con l'accesso ai dati archiviati, i dati personali non possono essere derivati senza l'interfaccia utente di Zscaler, che riunisce le informazioni dai Registri-cliente e dalla CA. 

(2) In che modo Zscaler protegge i dati personali elaborati e/o archiviati?

Zscaler implementa le misure di sicurezza fisiche, tecniche e organizzative per garantire un livello di sicurezza adeguata al rischio, in conformità con gli standard di cui all'articolo 32 del GDPR. Zscaler dispone di certificazione secondo gli standard ISO 27001 e System and Organization Controls (SOC) 2, Type II e si sottopone a revisione annuale da parte di terzi per garantire la costante conformità a tali certificazioni. Zscaler esamina, verifica e valuta regolarmente l'efficacia delle misure di sicurezza. Su richiesta scritta, e con riserva di adeguate protezioni di riservatezza, Zscaler può fornire al Cliente una copia del suo più recente certificato ISO 27001 e/o del rapporto SOC 2, Type II. Per ulteriori informazioni, visitare il sito https://www.zscaler.com/privacy-company/compliance

(3) Zscaler è in grado di fornire servizi solamente dall'Unione Europea (UE)?

No. Poiché Zscaler è un'azienda con sede negli U.S.A che offre una piattaforma cloud globale, elabora i dati personali in tutto il mondo tramite la propria rete di 150+ data center per fornire i propri servizi. 

Zscaler elabora i dati personali sul data center più vicino all'ubicazione degli utenti del cliente (ad es. data center nell'UE per gli utenti europei, data center negli U.S.A. per gli utenti nordamericani). Nel caso in cui un utente europeo viaggi negli U.S.A., Zscaler elaborerà i dati personali di quest'ultimo dal data center più vicino, in questo caso negli U.S.A.

Anche se gli utenti del cliente si trovano solo nell'UE, Zscaler offre servizi di supporto globale non solo dall'UE, ma anche dagli U.S.A., India e Costa Rica (solo per alcune aziende con sede negli U.S.A.) per garantire la copertura 24 ore al giorno, 7 giorni su 7, 365 giorni all'anno. Questa è una pratica comune per la maggior parte dei fornitori cloud.

Ciononostante, e diversamente da molti altri fornitori cloud, Zscaler offre ai propri clienti l'opzione di archiviare i propri Registri-cliente solo nell'UE e in Svizzera, indipendentemente da dove viene eseguita l'elaborazione globale dei dati. I nostri clienti possono selezionare questa opzione con Zscaler in fase di distribuzione. 

(4) Zscaler ha accesso o trasferisce i dati personali al di fuori dell'UE?

Sì.  Zscaler elabora i dati personali in tutto il mondo tramite la propria rete di 150+ data center per fornire i propri servizi.

In base al GDPR, il trasferimento di dati personali al di fuori dell'UE deve essere protetto da un quadro legale approvato, come le Clausole contrattuali standard dell'UE. Zscaler aderisce alle Clausole contrattuali standard dell'UE per il trasferimento dei dati personali al di fuori di SEE, Svizzera o Regno Unito. 

Tutti i dettagli relativi a questo aspetto sono trattati nell'Accordo sul trattamento dei dati (DPA) disponibile su www.zscaler.com/gdpr affinché i clienti possano scaricarlo e firmarlo.

(5) Qual è l'impatto su Zscaler del verdetto CJEU C-311/18 (“Schrems II”), che annulla i Privacy Shield USA-UE?

Alla luce del verdetto Schrems II, Zscaler conferma la propria continuità nella fornitura di prodotti e servizi, nella totale conformità con le leggi applicabili in materia di protezione dati. 

Non è cambiato nulla riguardo a come Zscaler trasferisce i dati personali al di fuori dell'UE per fornire i propri prodotti e servizi. La decisione del giudice europeo non influisce in alcun modo su come Zscaler fornisce i propri prodotti e servizi, sul flusso di dati o su come vengono archiviati i Registri del cliente. Storicamente, Zscaler ha sempre offerto ai propri clienti le protezioni sia in base alle Clausole contrattuali standard dell'UE che in base ai Privacy Shield per il trasferimento internazionale di dati. Le Clausole contrattuali standard dell'UE restano valide e il giudice ha confermato esplicitamente che è possibile continuare a utilizzare tale meccanismo di business. 

Inoltre, Zscaler mantiene le proprie certificazioni in base ai Privacy Shield UE-USA e Svizzera-USA. Anche se Zscaler non si affida ai Privacy Shield UE-USA come base legale per il trasferimento dei Dati personali, alla luce del verdetto della Corte di Giustizia dell'UE nel Caso C-311/18, ci impegniamo a sostenere i principi di protezione dati dei Privacy Shield UE-USA.

(6) Quali garanzie aggiuntive offre Zscaler per supportare il proprio utilizzo delle Clausole contrattuali standard dell'UE nel trasferimento dei dati personali agli U.S.A.?

Comprendiamo che il messaggio lanciato dal giudice europeo nel caso Schrems II è che, a seconda dei casi e tenendo in considerazione le circostanze in cui si verifica uno specifico trasferimento di dati, potrebbe essere necessario adottare alcune misure aggiuntive per assicurare che la legge del paese in cui i dati vengono trasferiti non incida sull'adeguato livello di protezione garantito dalle Clausole contrattuali standard dell'UE.

Poiché Zscaler offre ai propri clienti le protezioni assicurate dalle Clausole contrattuali standard dell'UE fin da prima della decisione sul caso Schrems II, abbiamo già effettuato tale analisi e siamo sicuri che le nostre procedure e misure di sicurezza continuino a garantire un'adeguata conformità. Naturalmente, monitoriamo continuamente le linee guida future e i cambiamenti normativi applicabili ai dati personali e attendiamo ulteriori decisioni da parte della Commissione Europea, del Comitato europeo per la protezione dei dati e dalle singole autorità di tutela. 

Alcune delle modalita' secondo cui garantiamo la protezione dati in base alle Clausole contrattuali standard dell'UE sono:

  • trattamento dei dati personali unicamente per conto dei nostri clienti e in base alle loro istruzioni;
  • implementazione di misure di sicurezza tecniche ed organizzative come specificato nel DPA prima del trattamento dei dati personali. Ad esempio, la tokenizzazione è uno dei metodi che utilizziamo per proteggere i Registri del cliente (vedere la Domanda 1 per maggiori informazioni);
  • notifichiamo al cliente di qualsiasi richiesta legalmente vincolante di diffusione dei dati personali, da parte delle forze dell'ordine, a meno che non sia diversamente proibito; 
  • archiviazione dei registri esclusivamente in UE (Germania, Paesi Bassi) e Svizzera per i clienti che distribuiscono i nostri prodotti per la prima volta;
  • ci assicuriamo che i nostri clienti prestino il consenso all'utilizzo di sub-responsabili del trattamento dei dati e che questi ultimi offrano una protezione equivalente dei dati che elaborano per nostro conto;
  • consentiamo ai nostri clienti e partner di eseguire audit e ispezioni automatiche annuali del nostro cloud, e soggette a determinati requisiti e controlli messi in atto da Zscaler, previa comunicazione scritta
  • ci impegniamo a garantire la continua conformità alle Clausole contrattuali standard dell'UE e a implementare qualsiasi ulteriore misura legale necessaria, entro un ragionevole periodo di tempo.

(7) Come rientra l'abilitazione dell'ispezione SSL tra i requisiti di sicurezza e la conformità alle leggi sulla privacy?

Abilitare l'ispezione SSL non cambia la quantità limitata di dati elaborati o archiviati da Zscaler. Piuttosto, consente ai nostri clienti di rispettare i propri obblighi in base all'Articolo 32 del GDPR, fornendo un'adeguato livello di sicurezza per il trattamento dei dati personali. Anche se esistono implicazioni per l'attività, la privacy e la sicurezza nell'uso dell'ispezione SSL, che i nostri clienti devono prendere in considerazione, queste devono essere compensate dall'obbligo di garantire che i diritti di tutti i lavoratori del cliente vengano tutelati contro minacce e attacchi. Perciò, piuttosto che una minaccia per la privacy, l'ispezione SSL dev'essere considerata uno strumento a supporto della conformità di un'organizzazione in termini di privacy.

Zscaler offre funzionalità complete di ispezione SSL/TLS, per proteggere il traffico dati dei clienti dalle minacce nascoste nel traffico criptato. Una volta completata l'ispezione dei dati, il flusso dei dati procede senza ostacoli e senza traccia dei dati-sorgente preservati, oltre al registro della stessa transazione. 

(8) Zscaler utilizza sub-responsabili del trattamento per fornire i propri servizi?

Sì. Come per qualsiasi fornitore cloud, Zscaler impiega un numero limitato di sub-responsabili del trattamento per fornire i propri servizi. Come stabilito dal GDPR, Zscaler deve ottenere il consenso del cliente prima di coinvolgere qualsiasi sub-responsabile del trattamento, compreso l'eventuale consenso contrattuale o generale. Inoltre, Zscaler è tenuta a fornire ai propri clienti una comunicazione scritta anticipata riguardo a eventuali cambiamenti nella lista dei propri sub-responsabili del trattamento. Zscaler è ritenuta responsabile e passibile delle prestazioni dei propri sub-responsabili del trattamento. Zscaler mantiene una lista dei propri sub-responsabili del trattamento attuali su https://www.zscaler.com/legal/subprocessors.

(9) Zscaler può fornire assistenza per una Richiesta di diritto all'oblio (RTBF)?

Sì. Zscaler dispone di una procedura interna per rispondere alle richieste RTBF. Tuttavia, è importante ricordare che in qualità di controllore dati, il nostro cliente è responsabile della revisione e verifica delle richieste e dell'invio di un ticket di assistenza a Zscaler. Le richieste RTBF devono essere effettuate solo se il soggetto dei dati (generalmente un lavoratore o utente del cliente) ha inoltrato tale richiesta al nostro cliente. Nel caso in cui Zscaler riceva una richiesta RTBF direttamente da un lavoratore o utente del cliente, quest'ultimo verrà reindirizzato al nostro cliente per verificare e rispondere alla richiesta