Clausole del modello dell'Unione europea

Panoramica delle clausole del modello dell'Unione europea

La legge sulla protezione dei dati dell'Unione europea (UE) regola il trasferimento dei dati personali dei clienti UE in paesi al di fuori dell'Area Economica Europea (AEE) che include tutti i paesi dell'Unione europea, Islanda, Liechtenstein e Norvegia. A livello pratico, la conformità alle leggi sulla protezione dei dati europea significa anche che i clienti hanno bisogno di meno autorizzazioni da parte delle singole autorità per trasferire i dati personali al di fuori dell'UE, poiché la maggior parte degli Stati membri dell'UE non richiede un'autorizzazione aggiuntiva se il trasferimento si basa su un accordo conforme alle clausole del modello.

Microsoft e le clausole del modello dell'Unione europea

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE) regola il trasferimento dei dati personali dei clienti in paesi al di fuori dell'Area Economica Europea (AEE), che include tutti i paesi dell'Unione europea, Islanda, Liechtenstein e Norvegia. Microsoft offre ai clienti le clausole contrattuali standard dell'Unione Europea che forniscono garanzie specifiche sui trasferimenti di dati personali per i servizi nell'ambito. Le clausole contrattuali standard dell'Unione Europea vengono utilizzate negli accordi tra provider di servizi (come Microsoft) e i loro clienti per garantire che tutti i dati personali che lasciano l'Area Economica Europea vengano trasferiti in conformità con il GDPR.

Nel luglio 2020, la Corte di giustizia dell'Unione europea (CGUE) ha reso non valido il Privacy Shield UE-USA per i trasferimenti di dati personali dall'UE agli Stati Uniti. Tuttavia, le clausole contrattuali standard dell'Unione Europea continuano a fornire un meccanismo valido per il trasferimento dei dati personali dall'UE e dall'Area Economica Europea, nonché dalla Svizzera e dal Regno Unito. Microsoft rende disponibili le clausole contrattuali standard dell'Unione Europea ai clienti come descritto nelle Condizioni di Microsoft Online Services (OST) Data Protection Addendum (DPA).

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure e Azure per enti pubblici
  • Azure DevOps Services
  • Dynamics 365
  • Intune: parte del servizio cloud del prodotto del componente aggiuntivo Intune e gestione di dispositivi mobili per Office 365
  • Microsoft Cloud App Security
  • Microsoft Defender per endpoint per le seguenti parti del servizio cloud: rilevamento e reazione dagli endpoint, analisi e risoluzioni automatiche e punteggio di sicurezza.
  • Microsoft Professional Services: premier e locale per Azure, Dynamics 365, Intune e per le medie e grandi imprese clienti di Microsoft 365 per le aziende
  • Office 365
  • Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
  • Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
  • Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365

Office 365 e le clausole del modello dell'Unione europea

Ambienti cloud di Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione tratta i seguenti ambienti cloud di Office 365:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Advanced Threat Protection, Azure Active Directory, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do per il Web, MyAnalytics, componente aggiuntivo Conformità avanzata di Office 365, Office 365 Cloud App Security, Gruppi di Office 365, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Microsoft SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

Controlli, report e certificati

Microsoft valuta costantemente gli standard dell'Unione europea e aggiorna i suoi servizi di conseguenza.

Domande frequenti

Perché è importante l'adeguamento alle clausole del modello?

Un provider di servizi che si impegna contrattualmente a rispettare le clausole del modello garantisce ai suoi clienti che i dati personali verranno trasferiti ed elaborati nel rispetto della legge sulla protezione dei dati dell'Unione europea. Grazie al rispetto delle Clausole del modello, i clienti devono ottenere un minor numero di approvazioni dalle singole autorità di protezione dei dati per trasferire i dati personali al di fuori dell'Unione europea.

Dove è possibile ottenere informazioni sull'adeguamento per i servizi Microsoft?

L'adeguamento è un impegno contrattuale. Le clausole contrattuali standard di Microsoft sono disponibili per tutti i clienti cloud nelle Condizioni di Online Services; per altri servizi, consultare l'accordo esistente con Microsoft.

Che cos'è un "responsabile secondario del trattamento dei dati"?

Un "responsabile secondario del trattamento dei dati" è chiunque elabori i dati personali seguendo le istruzioni del titolare del trattamento dei dati, nonché i termini delle clausole del modello e il subcontratto. I clienti Microsoft, in particolare i fornitori di software indipendenti (ISV), a volte sono essi stessi responsabili del trattamento dei dati. In questi casi, Microsoft è il responsabile secondario del trattamento dei dati.

Qual è la fase iniziale del percorso di adeguamento dell'organizzazione?

È possibile stipulare un contratto come le Condizioni di Online Services o modificare il contratto esistente per incorporare le clausole contrattuali standard.

Risorse