Informazioni sul ciclo di vita dei dati - raccolta
Quando si iscrivono ai servizi online Microsoft, è importante che i clienti comprendano le condizioni per l'utilizzo applicabili. Poiché i requisiti di privacy e normativi differiscono in base al settore e ai limiti geografici, è importante che i clienti stabiliscano se il servizio soddisfa le loro esigenze specifiche di utilizzo.
Le condizioni per l'utilizzo di Microsoft con i propri clienti sono riportate di seguito:
- Condizioni per l'Utilizzo dei Servizi Online (OST): impegni contrattuali standard per i clienti commerciali che usano i servizi online, in cui Microsoft rappresenta il responsabile del trattamento dei dati
- Appendice sulla protezione dei dati dei servizi online (DPA): obblighi rispettivi relativi al trattamento e all'utilizzo dei tipi di dati esistenti nel servizio
All'inizio, DPA e OST erano incluse in un unico documento fino a gennaio 2020, ma poi sono state suddivise per rendere più semplice per i nostri clienti trovare le condizioni per la privacy dei dati. Microsoft collabora con le autorità di regolamentazione e i clienti commerciali per ottenere feedback sulle leggi in materia di protezione dei dati e modifica le condizioni in base agli aggiornamenti apportati alle varie normative.
Informativa sulla privacy, consenso e tassonomia dei dati
L'informativa e il consenso sono principi fondamentali delle leggi sulla privacy in tutto il mondo. Microsoft gestisce il Customer Data Governance Board (CDGB), che gestisce Customer Data Taxonomy (Tassonomia) e Customer Data Use Framework (Framework), un set di regole a livello aziendale per informativa, consenso e controlli utente. La Tassonomia definisce categorie di tipi di dati e usi. Il Framework specifica l'informativa, il consenso e i controlli utente successivi alla raccolta dati necessari per l'utilizzo di ogni tipo di dati. Microsoft usa anche le verifiche della privacy, inclusa un'analisi degli interessi legittimi per supportare questo processo. Possono essere applicati requisiti aggiuntivi a situazioni specifiche (ad esempio, potrebbe essere necessario il consenso dei genitori per raccogliere dati su un minore).
Uso e gestione dei dati
Gli standard di gestione dei dati forniscono indicazioni su come gestire ogni tipo di classificazione dei dati all'interno di attività o scenari specifici, tra cui una serie di requisiti collettivi per soddisfare gli obblighi descritti nelle OST/DPA e vari standard e normative di controllo. Questi standard sono comunemente usati quando vengono create nuove funzionalità o quando si esegue un servizio e possono essere specifici per tale servizio, ad esempio Microsoft 365.
Per rispettare le leggi sulla privacy applicabili su vasta scala, Microsoft limita rigorosamente l'uso di tutti i dati personali all'interno delle quattro categorie di dati elaborati. Per proteggere la riservatezza dei dati aziendali dei clienti, Microsoft limita ulteriormente l'uso di tutti i dati dei clienti e di tutti i dati dei servizi professionali. Microsoft non accede ai contenuti dei dati dei clienti per determinare cosa è personale o meno. Si presuppone invece che tutti i dati dei clienti e tutti i dati dei servizi professionali contengano dati personali. Di seguito è riportata una rappresentazione visiva dei tipi di dati definiti nella DPA. La casella blu consente di mostrare che tutti i dati personali vengono trattati come parte di uno degli altri tipi di dati (inclusi anche i dati non personali). I dati di supporto sono un sottoinsieme di dati di servizi professionali.
I dati personali all'interno dei dati di diagnostica e dei dati generati dal servizio sono principalmente dei numeri univoci generati dal computer che possono essere collegati agli utenti.
Trasferimenti internazionali di dati
I dati dei clienti e i dati personali elaborati da Microsoft per conto di un cliente possono essere trasferiti e archiviati ed elaborati nel Stati Uniti o in qualsiasi altro paese o area geografica in cui opera Microsoft o i suoi subprocessori. Se un cliente vuole una panoramica più dettagliata su un servizio, è utile esaminare l'appendice sulla protezione dei dati.
Microsoft è conforme alle leggi internazionali sulla protezione dei dati relative ai trasferimenti oltre confine dei dati dei clienti. Ad esempio, le clausole modello UE regolano il trasferimento dei dati personali dei clienti dell'UE a paesi/aree geografiche esterne allo Spazio economico europeo (SEE). Le clausole contrattuali standard dell'Unione Europea di Microsoft forniscono garanzie contrattuali specifiche in relazione ai trasferimenti di dati personali per i servizi coperti che le autorità di regolamentazione della privacy europee hanno determinato conformi agli standard UE per i trasferimenti internazionali di dati. Le clausole contrattuali standard dell'Unione Europea forniscono inoltre un meccanismo valido per il trasferimento dei dati personali dalla Svizzera e dal Regno Unito.