Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft Azure

Il Regolamento generale sulla protezione dei dati (GDPR) prevede che i titolari del trattamento preparino una valutazione dell'impatto sulla protezione dei dati (DPIA) per i trattamenti che "possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Microsoft Azure non prevede intrinsecamente la necessità assoluta della creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. La necessità di una DPIA dipenderà piuttosto dai dettagli e dal contesto relativo alle modalità con cui il titolare del trattamento dei dati distribuisce, configura e usa Microsoft Azure. In ogni caso, una DPIA dovrebbe iniziare nella fase iniziale di un progetto ed essere eseguita in parallelo al processo di pianificazione e sviluppo.

L'obiettivo di questi documenti è di fornire informazioni riguardanti Microsoft Azure ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.

Nota

Microsoft non fornisce alcun consiglio legale in questo articolo. Questo articolo viene fornito esclusivamente per scopi informativi. I clienti sono invitati a collaborare con i propri responsabili della privacy, e/o responsabili della protezione dei dati (DPO), ove designati, e/o consulenti anche legali per determinare la necessità e il contenuto di eventuali DPIA relative all'uso di Microsoft Azure o di qualsiasi altro servizio online Microsoft.

Parte 1: determinare se è necessaria una DPIA

L'articolo 35 del RGPD prevede che un titolare del trattamento dei dati crei una valutazione d'impatto sulla protezione dei dati (DPIA) "laddove un tipo di elaborazione, in particolare utilizzando le nuove tecnologie e tenendo conto della natura, della portata, del contesto e delle finalità dell'elaborazione, rischi di comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Stabilisce, inoltre, particolari fattori che indicherebbero un rischio così elevato, i quali sono discussi nella seguente tabella. Per determinare se sia necessaria una DPIA, un titolare del trattamento dei dati dovrebbe considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle specifiche implementazioni e degli usi di Microsoft Azure da parte del titolare del trattamento dei dati.

Fattore di rischio elevato Informazioni rilevanti su Microsoft Azure
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica. Microsoft Azure non fornisce funzionalità per eseguire determinate elaborazioni automatizzate di dati.

Tuttavia, poiché Azure è un servizio altamente personalizzabile, un titolare del trattamento dei dati potrebbe configurarlo per l'utilizzo di tale elaborazione. I titolari del trattamento dei dati dovrebbero effettuare questa determinazione in base al proprio utilizzo di Azure.
Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici per identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali. Microsoft Azure non è progettato per elaborare categorie speciali di dati personali e l'utilizzo di Azure non aumenta il rischio intrinseco dell'elaborazione di un titolare del trattamento dei dati.

Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Microsoft Azure per elaborare categorie speciali di dati enumerate. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tracciare o elaborare in altro modo qualsiasi tipo di dati, comprese categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala. Microsoft Azure non è progettato per condurre o facilitare tale monitoraggio.

Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Azure per elaborare dati raccolti attraverso tale monitoraggio. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tracciare o elaborare in altro modo qualsiasi tipo di dati, compreso il monitoraggio dati. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.

Parte 2: contenuto di una DPIA

L'articolo 35, paragrafo 7, stabilisce che una valutazione d'impatto sulla protezione dei dati specifichi le finalità del trattamento e contenga una descrizione sistematica dei trattamenti previsti. Una descrizione sistematica di una DPIA completa potrebbe includere fattori quali i tipi di dati trattati, per quanto tempo vengono conservati, i luoghi in cui si trovano e possono essere trasferiti e le terze parti che potrebbero avere accesso a tali dati. Inoltre, la DPIA deve includere:

  • una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà delle persone fisiche;
  • misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al presente regolamento, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.

La tabella seguente contiene informazioni su Microsoft Azure rilevanti per ciascuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono considerare i dettagli forniti di seguito, insieme a qualsiasi altro fattore rilevante, nel contesto delle specifiche implementazioni e degli usi di Microsoft Azure da parte del titolare.

Elemento di una DPIA Informazioni rilevanti su Microsoft Azure
Scopi dell'elaborazione Gli scopi dell'elaborazione dei dati utilizzando Microsoft Azure sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza.

Come specificato dalle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali, Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti solo per fornire i Servizi Online al cliente, in conformità con le istruzioni documentate del cliente.

Come descritto dettagliatamente nelle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali standard, Microsoft usa i dati personali anche per supportare un set limitato di operazioni commerciali legittime, costituite da: (1) gestione della fatturazione e dell'account; (2) retribuzioni (ad esempio, calcolo di commissioni per i dipendenti e incentivi per i partner); (3) creazione di report e modellazione interni (ad esempio previsione, ricavi, pianificazione della capacità, strategia di prodotto); (4) combattere frodi, crimini informatici o attacchi informatici che possono influire sui prodotti Microsoft o su Microsoft; (5) migliorare le funzionalità principali di accessibilità, privacy o efficienza energetica; e (6) creazione di relazioni finanziarie e conformità con gli obblighi legali (fatte salve le limitazioni sulla divulgazione dei dati dei clienti descritte nelle Condizioni dei servizi online).

Microsoft è il titolare del trattamento dei dati personali a supporto di queste specifiche operazioni commerciali legittime. In generale, Microsoft aggrega i dati personali prima di usarli per le operazioni commerciali legittime, eliminando la possibilità di identificare specifici utenti e usando i dati personali nel formato meno identificabile possibile a supporto dell'elaborazione necessaria per le operazioni commerciali legittime.

Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili.
Categorie di dati personali trattati *Dati dei clienti: tutti i dati, compresi tutti i file di testo, audio o immagini e il software, che vengono forniti a Microsoft da, o per conto di, un cliente tramite l'uso del servizio aziendale. I dati dei clienti includono (1) informazioni che consentono l'identificazione personale degli utenti finali (ad esempio, nomi utente e informazioni di contatto in Azure Active Directory) e contenuti per i clienti che un cliente stesso carica o crea in servizi specifici (ad esempio, contenuti per i clienti in un account di archiviazione di Azure, contenuti per i clienti in un database SQL di Azure o un'immagine della macchina virtuale di un cliente in Macchine virtuali di Azure).

*Dati generato dal servizio: Log e dati correlati generati da Microsoft che aiutano Microsoft a fornire servizi aziendali agli utenti. I dati generati dal servizio contengono principalmente dati presentati con l'uso di pseudonimi, associati a un identificatore univoco generato dal sistema, i quali non possono identificare individualmente una singola persona ma sono utilizzati per fornire servizi aziendali agli utenti. I log generati dal servizio possono anche contenere informazioni identificabili riguardanti gli utenti finali, ad esempio un nome utente.

*Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a ottenere da un Servizio online) attraverso un impegno con Microsoft per ottenere supporto tecnico per i servizi online.

Per altre informazioni sui dati elaborati da Azure, consultare le Condizioni per l'utilizzo dei servizi online, incluso il contratto relativo al trattamento dei dati, nonché il Centro protezione Microsoft.

Conservazione dei dati Microsoft conserverà ed elaborerà i dati dei clienti per la durata del diritto del cliente a usare il servizio online e fino a quando tutti i dati dei clienti non saranno recuperati dal cliente o eliminati in conformità ai termini delle Condizioni per l'utilizzo dei servizi online. Per tutta la durata dell'abbonamento, il cliente potrà accedere ed estrarre i dati archiviati in ogni servizio online. Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati. Il cliente può eliminare i dati personali in base a una richiesta dell'interessato usando le funzionalità descritte nella documentazione del GDPR relativa alle richieste dell'interessato in Azure.
Ubicazione e trasferimento dei dati personali I clienti hanno la possibilità di effettuare il provisioning dei dati dei clienti inattivi entro aree geografiche specifiche, salvo alcune eccezioni come stabilito, con determinate eccezioni, come indicato nelle Condizioni per l'Utilizzo dei Servizi Online. Ulteriori dettagli riguardanti le distribuzioni dei servizi e la residenza dei dati sono disponibili anche nell'Addendum relativo alla protezione dei dati personali Microsoft (DPA) alle Condizioni per l'utilizzo dei Servizi Online e nella pagina Web Infrastruttura globale di Azure.

Per i dati personali dello Spazio economico europeo, della Svizzera e del Regno Unito, Microsoft garantirà che i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale siano soggetti a garanzie appropriate, secondo quanto descritto nell'articolo 46 del GDPR. Oltre agli impegni assunti ai sensi delle clausole contrattuali standard per i responsabili del trattamento e altri contratti modello, Microsoft continua a rispettare le condizioni del framework Privacy Shield, ma non si baserà più su di esso come base per il trasferimento dei dati personali dall'Unione Europea/AEE agli Stati Uniti.
Condivisione dei dati con terze parti responsabili del trattamento Microsoft condivide i dati con terze parti che agiscono come responsabili secondari per le funzioni di supporto come assistenza clienti e tecnica, manutenzione servizi e altre operazioni. Tutti i terzisti ai quali Microsoft trasferisce i dati del cliente, di supporto o personali avranno stipulato accordi scritti con Microsoft che non offrono meno protezione delle Condizioni per la protezione dei dati contenuti nelle Condizioni dei servizi online. Tutti i terzisti responsabili secondari del trattamento con cui sono condivisi i dati del cliente dei servizi online di base di Microsoft sono inclusi nell'elenco dei subappaltatori dei servizi online. Tutti i terzisti responsabili secondari del trattamento che potrebbero avere accesso ai dati del supporto (compresi i dati del cliente che i clienti scelgono di condividere durante le loro interazioni con il supporto) sono inclusi nell’elenco dei fornitori di supporto commerciale di Microsoft. 
Diritti del soggetto interessato Quando opera come responsabile, Microsoft mette a disposizione del cliente (ovvero il titolare del trattamento dei dati) i dati personali degli interessati e la capacità di soddisfare le richieste quando questi esercitano i propri diritti ai sensi del RGPD. Microsoft opera in modo coerente con la funzionalità del prodotto e con il ruolo di responsabile del trattamento dei dati. Se riceve una richiesta da parte del soggetto dei dati di un cliente di esercitare uno o più dei suoi diritti ai sensi del RGPD, la richiesta sarà reindirizzata al titolare del trattamento dei dati.

La Guida per le richieste degli interessati del trattamento dei dati in Azure fornisce una descrizione per il titolare del trattamento dei dati su come supportare i diritti degli interessati usando le funzionalità di Azure.

Le richieste dell'interessato per l'esercizio di diritti nell'ambito del GDPR per i dati personali elaborati a supporto di processi aziendali legittimi devono essere dirette a Microsoft, come indicato nell'Informativa sulla privacy di Microsoft.

Microsoft generalmente aggrega i dati personali prima di usarli per le proprie operazioni commerciali legittime e non è in grado di identificare i dati personali per un individuo specifico nell'aggregazione. Questa azione riduce significativamente i rischi per la privacy di ogni singolo utente. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento.

La documentazione RGPD della richiesta dell'interessato in Azure descrive come supportare i diritti degli interessati utilizzando le funzionalità in Azure.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità dell'elaborazione.

Microsoft adotta misure quali l'anonimizzazione o l'aggregazione dei dati personali che utilizza a supporto di operazioni commerciali legittime per supportare l'erogazione dei servizi, minimizzando il rischio del trattamento per i soggetti interessati che si avvalgono del servizio.

Per quanto riguarda il trattamento effettuato da Microsoft, è necessario e proporzionale al fine di fornire i servizi al titolare del trattamento. Microsoft assume questo impegno nelle Condizioni per l'utilizzo dei servizi online.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Microsoft Azure dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza.

Tuttavia, come per gli altri servizi, i dati personali conservati nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono riportate nelle Condizioni dei servizi online, come spiegato in dettaglio di seguito.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi del soggetto dei dati di altre persone Microsoft si impegna a proteggere la sicurezza dei dati dei clienti. Le misure di sicurezza adottate da Microsoft sono descritte in dettaglio nelle Condizioni dei servizi online.

Microsoft rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all'avanguardia. Microsoft sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce. Ulteriori informazioni relative alla governance del cloud e alle procedure relative alla privacy sono disponibili alla pagina Governance del cloud e privacy del Centro protezione.

Microsoft prende misure tecniche e organizzative ragionevoli e appropriate per salvaguardare i dati personali che elabora. Queste misure includono, a titolo esemplificativo ma non esaustivo, politiche e pratiche interne sulla privacy, impegni contrattuali e certificazioni standard internazionali e regionali. Ulteriori informazioni sono disponibili alla pagina sugli standard di privacy del centro protezione.

Microsoft fornisce ai clienti materiali di sicurezza e privacy significativi e trasparenti che aiutano a spiegare l'uso e l'elaborazione dei dati personali da parte di Microsoft. I clienti sono invitati a contattare Microsoft per eventuali domande.

Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record.

Quando Microsoft elabora i dati personali per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati.

Ulteriori informazioni