Condividi tramite


Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft Azure

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per il trattamento di operazioni che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Non esiste alcun elemento intrinseco in Microsoft Azure che richieda necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. La necessità di una DPIA dipenderà piuttosto dai dettagli e dal contesto relativo alle modalità con cui il titolare del trattamento dei dati distribuisce, configura e usa Microsoft Azure. In ogni caso, una DPIA dovrebbe iniziare nella fase iniziale di un progetto ed essere eseguita in parallelo al processo di pianificazione e sviluppo.

L'obiettivo di questi documenti è di fornire informazioni riguardanti Microsoft Azure ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.

Nota

Microsoft non fornisce alcun consiglio legale in questo articolo. Questo articolo viene fornito esclusivamente per scopi informativi. I clienti sono invitati a collaborare con i propri responsabili della privacy, e/o responsabili della protezione dei dati (DPO), ove designati, e/o consulenti anche legali per determinare la necessità e il contenuto di eventuali DPIA relative all'uso di Microsoft Azure o di qualsiasi altro servizio online Microsoft.

Parte 1: determinare se è necessaria una DPIA

L'articolo 35 del RGPD prevede che un titolare del trattamento dei dati crei una valutazione d'impatto sulla protezione dei dati (DPIA) "laddove un tipo di elaborazione, in particolare utilizzando le nuove tecnologie e tenendo conto della natura, della portata, del contesto e delle finalità dell'elaborazione, rischi di comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Stabilisce, inoltre, particolari fattori che indicherebbero un rischio così elevato, i quali sono discussi nella seguente tabella. Per determinare se sia necessaria una DPIA, un titolare del trattamento dei dati dovrebbe considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle specifiche implementazioni e degli usi di Microsoft Azure da parte del titolare del trattamento dei dati.

Fattore di rischio elevato Informazioni rilevanti su Microsoft Azure
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica. I servizi di Microsoft Azure non sono progettati per eseguire l'elaborazione su cui si basano decisioni che producono effetti legali o altrettanto significativi sui singoli utenti.

Tuttavia, poiché Azure è un servizio altamente personalizzabile, un titolare del trattamento dei dati potrebbe potenzialmente configurare i servizi di Azure da usare per tale elaborazione. I controller devono effettuare questa determinazione in base all'utilizzo di Azure.
Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici per identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali. Microsoft Azure non è progettato per elaborare categorie speciali di dati personali su larga scala.

Tuttavia, un titolare del trattamento dei dati potrebbe usare Microsoft Azure per elaborare le categorie speciali di dati enumerate. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo i dati personali, incluse categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala. Microsoft Azure non è progettato per condurre o facilitare tale monitoraggio su larga scala.

Tuttavia, un titolare del trattamento dei dati potrebbe usare Azure per elaborare i dati raccolti tramite tale monitoraggio. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo qualsiasi tipo di dati, inclusi i dati di monitoraggio. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.

Parte 2: contenuto di una DPIA

L'articolo 35, paragrafo 7, del GDPR impone che una valutazione dell'impatto sulla protezione dei dati specifichi le finalità del trattamento e una descrizione sistematica del trattamento previsto. Una descrizione sistematica di una DPIA completa può includere fattori come i tipi di dati elaborati, la durata della conservazione dei dati, la posizione e il trasferimento dei dati e le terze parti che possono avere accesso ai dati ed essere supportati da un diagramma del flusso di dati. La DPIA deve inoltre includere:

  • Una valutazione della necessità e della proporzionale delle operazioni di trattamento in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà delle persone fisiche; E
  • Le misure previste per affrontare i rischi, tra cui misure di sicurezza, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare il rispetto del presente regolamento tenendo conto dei diritti e degli interessi legittimi degli interessati e di altre persone interessate.

La tabella seguente contiene informazioni su Microsoft Azure rilevanti per ognuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono prendere in considerazione i dettagli forniti nella tabella, insieme ad altri fattori rilevanti, nel contesto delle implementazioni e degli usi specifici del titolare del trattamento di Microsoft Azure.

Elemento di una DPIA Informazioni rilevanti su Microsoft Azure
Scopi dell'elaborazione Gli scopi dell'elaborazione dei dati utilizzando Microsoft Azure sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza.

Come specificato da Product Terms and Products and Services Data Protection Addendum (DPA), Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti per fornire al cliente i servizi online in base alle istruzioni documentate del cliente.

Come descritto in dettaglio nell'addendum standard per la protezione dei dati (DPA, Data Protection Addendum) standard per prodotti e prodotti, Microsoft usa anche i dati personali per supportare un set limitato di operazioni aziendali.

Microsoft è responsabile del trattamento dei dati personali per supportare queste specifiche operazioni aziendali. In genere, Microsoft aggrega i dati personali prima di usarli per le operazioni aziendali, rimuovendo la capacità di Microsoft di identificare individui specifici e usando i dati personali nel formato meno identificabile che supporterà l'elaborazione necessaria per le operazioni aziendali.

Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili.

Nota: Microsoft Azure è una piattaforma cloud online per l'elaborazione costituita da diversi Servizi online discreti, ognuno dei quali ha scopi distinti di elaborazione. Le descrizioni di ogni offerta di servizio di Microsoft Azure sono disponibili qui.

Microsoft Azure elabora i dati personali solo per fornire ai clienti i propri Servizi online inclusi scopi compatibili con la fornitura di tali servizi, ad esempio personalizzazione, sicurezza, prevenzione di frodi e malware, risoluzione dei problemi e miglioramento.
Categorie di dati personali trattati Dati del cliente: tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software, forniti a Microsoft da o per conto di un cliente tramite l'uso del servizio aziendale. I dati dei clienti includono sia (1) informazioni identificabili degli utenti finali (ad esempio, nomi utente e informazioni di contatto in Microsoft Entra ID) che contenuto del cliente caricato o creato da un cliente in servizi specifici (ad esempio, contenuto del cliente in un account di archiviazione di Azure, contenuto del cliente di un database Azure SQL o immagine della macchina virtuale di un cliente in Azure Macchine virtuali).

Dati generati dal servizio: si tratta dei dati generati o derivati da Microsoft tramite il funzionamento del servizio, ad esempio dati sull'uso o sulle prestazioni. La maggior parte di questi dati contiene identificatori pseudonimi generati da Microsoft.

Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a richiedere a un servizio online) attraverso un'interazione con Microsoft per ottenere supporto tecnico per i servizi online.

Per altre informazioni sui dati elaborati da Azure, vedere le Condizioni per il prodotto, inclusi il [Contratto di elaborazione dati prodotti e servizi (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) e il Centro protezione Microsoft.

Conservazione dei dati Microsoft conserva ed elabora i dati dei clienti durante il diritto del cliente di utilizzare il servizio online e fino a quando tutti i dati del cliente non vengono recuperati dal cliente o eliminati in conformità con le condizioni del Prodotto Condizioni e Prodotti e Servizi Data Protection Addendum (DPA). Per tutta la durata dell'abbonamento, il cliente potrà accedere ed estrarre i dati archiviati in ogni servizio online. Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati. Il cliente può eliminare i dati personali in base a una richiesta dell'interessato usando le funzionalità descritte nella documentazione del GDPR relativa alle richieste dell'interessato in Azure.
Ubicazione e trasferimento dei dati personali I clienti hanno la possibilità di effettuare il provisioning dei dati dei clienti inattivi all'interno di aree geografiche specificate, soggette a determinate eccezioni, come indicato nelle Condizioni del prodotto e nel Componente aggiuntivo per la protezione dei dati (DPA) dei prodotti e dei servizi Microsoft. Altri dettagli relativi alle distribuzioni dei servizi e alla residenza dei dati sono disponibili anche nel Componente aggiuntivo per la protezione dei dati Microsoft (DPA) per le Condizioni del prodotto e nella pagina Web Infrastruttura globale di Azure .

Per i dati personali trasferiti all'esterno dello Spazio economico europeo, della Svizzera e del Regno Unito, Microsoft garantirà che i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale siano soggetti alle misure di sicurezza appropriate come descritto nell'articolo 46 GDPR. Oltre agli impegni di Microsoft ai sensi delle clausole contrattuali standard per i responsabili del trattamento e di altri contratti modello, Microsoft rispetta le condizioni del Framework per la privacy dei dati.
Condivisione dei dati con terze parti responsabili del trattamento Microsoft condivide i dati con terze parti che fungono da subprocessori (come definito nel GDPR) per supportare funzioni come il supporto tecnico e del cliente, la manutenzione dei servizi e altre operazioni. Tutti i subprocessori a cui Microsoft trasferisce i dati dei clienti, i dati del supporto tecnico o i dati personali avranno stipulato contratti scritti con Microsoft che non sono meno protettivi rispetto all'addendum per la protezione dei dati dei prodotti e dei servizi Microsoft. Tutti i subprocessori di terze parti con cui vengono condivisi i dati dei clienti dai Servizi online principali di Microsoft sono inclusi nell'elenco Sottoprocessore dei servizi online. Tutti i subprocessori di terze parti che possono accedere ai dati di supporto (inclusi i dati dei clienti che i clienti scelgono di condividere durante le interazioni di supporto) sono inclusi nell'elenco dei subprocessori dei servizi online. 
Diritti del soggetto interessato Quando opera come responsabile del trattamento, Microsoft mette a disposizione del cliente (noto anche come titolare del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. Microsoft lo fa in modo coerente con la funzionalità del prodotto e con il suo ruolo di responsabile del trattamento dei dati.  Se riceviamo una richiesta da parte dell'interessato di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati.

La Guida per le richieste degli interessati del trattamento dei dati in Azure fornisce una descrizione per il titolare del trattamento dei dati su come supportare i diritti degli interessati usando le funzionalità di Azure.

Le richieste da parte di un interessato di esercitare diritti ai sensi del GDPR per i dati personali elaborati per supportare i processi aziendali legittimi devono essere indirizzate a Microsoft, come chiarito nell'Informativa sulla privacy di Microsoft.

Microsoft aggrega in genere i dati personali prima di usarli per le operazioni aziendali e non è in grado di identificare i dati personali di un individuo specifico nell'aggregazione. Questa azione riduce il rischio per la privacy per l'individuo. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento.

La documentazione RGPD della richiesta dell'interessato in Azure descrive come supportare i diritti degli interessati utilizzando le funzionalità in Azure.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità dell'elaborazione.

Microsoft adotta misure quali l'aggregazione dei dati personali usati da Microsoft per supportare le operazioni aziendali per supportare la fornitura dei servizi, riducendo al minimo il rischio di tale trattamento per gli interessati che utilizzano il servizio.

Per quanto riguarda il trattamento effettuato da Microsoft, tale trattamento è necessario e proporzionale per fornire i servizi al titolare del trattamento dei dati.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Microsoft Azure dipenderanno da come e in quale contesto il titolare del trattamento dei dati implementa, configura e usa Microsoft Azure.

Microsoft adotta misure quali l'aggregazione dei dati personali usati da Microsoft per supportare le operazioni aziendali per supportare la fornitura dei servizi, riducendo al minimo il rischio di tale trattamento per gli interessati che utilizzano il servizio.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nelle Condizioni del prodotto, come descritto più avanti in questo articolo.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone Microsoft si impegna a proteggere la sicurezza dei dati dei clienti. Le misure di sicurezza adottate da Microsoft sono descritte in dettaglio nelle Condizioni del prodotto.

Microsoft rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all'avanguardia. Microsoft sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce. Altre informazioni sulle procedure di governance e privacy del cloud sono disponibili nella pagina Gestione della conformità nel cloud del Centro protezione .

Microsoft adotta misure tecniche e organizzative adeguate e ragionevoli per tutelare i dati personali che elabora. Tali misure includono, a titolo esemplificativo e non esaustivo, criteri e procedure di privacy interni, impegni contrattuali e certificazioni per standard locali e internazionali. Altre informazioni sono disponibili nella pagina Privacy del Centro protezione.

Microsoft fornisce materiale significativo e trasparente per la sicurezza e la privacy per i clienti per spiegare l'uso e l'elaborazione dei dati personali da parte di Microsoft. I clienti sono invitati a contattare Microsoft per eventuali domande.

Inoltre, quando Microsoft agisce come responsabile del trattamento dei dati, è conforme alle disposizioni applicabili del GDPR applicabili ai responsabili del trattamento dei dati.

Quando Microsoft elabora i dati personali per le proprie operazioni aziendali, è conforme agli obblighi gdpr che si applicano ai titolari del trattamento dei dati.

Ulteriori informazioni