Informazioni sui ruoli e le responsabilità
I servizi online di Microsoft si basano su un modello di responsabilità condivisa, in cui parte della responsabilità per la sicurezza e la privacy spetta al provider di servizi cloud e al cliente. La suddivisione delle responsabilità tra Microsoft e i suoi clienti dipende dal modello di servizio in uso (infrastruttura, piattaforma o software as a service), dal modo in cui il servizio viene configurato e usato da ogni cliente e dalle leggi e normative applicabili in materia di privacy.
Ad esempio, i ruoli e le responsabilità seguenti illustrano le disposizioni del GDPR:
Titolare del trattamento dei dati: monitora i dati personali e ne determina il modo di utilizzo. Le responsabilità del titolare del trattamento dei dati includono, a titolo esemplificativo ma non esaustivo, la raccolta, la gestione, l'indirizzamento delle azioni, la protezione, la modifica e l'eliminazione dei dati personali. Il titolare del trattamento dei dati aggiunge gli utenti al sistema, concede l'accesso al sistema e raccoglie i dati dagli interessati o assegna dei dipendenti per il completamento di tali attività per conto dell'azienda. Il titolare del trattamento dei dati si assume l'impegno di comprendere il processo per le richieste del GDPR e l'esecuzione di una richiesta GDPR.
Questo ruolo spetta al cliente di Microsoft.
Responsabile del trattamento dei dati: fornisce i servizi ed elabora i dati per conto del titolare del trattamento dei dati. Esegue le azioni richieste per conto del titolare del trattamento dei dati. Il responsabile del trattamento dei dati consente al titolare del trattamento la conformità al GDPR, ma non vanta la proprietà dei dati né risponde direttamente alle richieste degli interessati o esegue valutazioni dell'impatto sulla protezione dei dati.
Tale ruolo spetta a Microsoft. In qualità di responsabile del trattamento dei dati, Microsoft implementa controlli di sicurezza e privacy per tutelare i servizi, oltre ad assistere i titolari del trattamento dei dati nel rispetto degli obblighi di conformità. Ad esempio, Microsoft offre funzionalità di commutazione dell'amministratore per controllare le funzionalità di privacy nei propri tenancy. Inoltre, collaborando direttamente con gli amministratori dei tenant dei clienti, reindirizza le domande degli utenti finali sulle richieste del servizio o dell'interessato per i dati personali.
Un aspetto importante da esaminare è il modo in cui viene abilitata la conformità. I nostri clienti spesso chiedono: "Che cosa significa, sei conforme a queste leggi e normative o no?" Per la maggior parte delle normative specifiche del settore o geografiche, è possibile usare Microsoft Servizi online in modo conforme a una legge o a una normativa. Tuttavia, non è possibile per i servizi online di Microsoft garantire la conformità end-to-end dal momento che non analizza il contenuto dei dati personali del cliente.
Ad esempio, le organizzazioni coperte da HIPAA o altre normative devono implementare un proprio programma di formazione e sicurezza per garantire che il personale non sfrutti i servizi di Microsoft per violare tali normative. Microsoft può garantire di fare la sua parte, consentendo quindi a un cliente di implementare un programma conforme alla legge.
Per fornire un esempio, un medico statunitense può archiviare le informazioni sanitarie protette dei pazienti sul servizio Microsoft, regolamentate dall'HIPAA. Microsoft implementa controlli sulla sicurezza e sulla privacy per garantire che il personale non possa accedere o divulgare in modo inappropriato tali informazioni sui pazienti. Tuttavia, un medico che si identifica come un utente dei servizi può usarlo per inviare le informazioni riservate del paziente a un addetto al marketing. Microsoft recapiterebbe inconsapevolmente il messaggio causando una violazione dell'HIPAA da parte del cliente. Microsoft considererebbe di seguire la direzione di un rappresentante del cliente.
Microsoft si impegna a eseguire e gestire i propri servizi con procedure all'avanguardia in materia di tecnologia, sicurezza e privacy; ogni cliente e utente dei servizi ha la responsabilità di determinare la modalità in cui soddisfare esigenze e obblighi specifici.