Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft AzureData Protection Impact Assessments: Guidance for Data Controllers Using Microsoft Azure

Ai sensi del regolamento generale sulla protezione dei dati (RGPD), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per le operazioni di elaborazione che potrebbero "comportare un alto rischio per i diritti e le libertà delle persone fisiche". Nessuna delle caratteristiche intrinseche di Microsoft Azure richiede necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo utilizza. Piuttosto, la richiesta di una DPIA dipenderà dai dettagli e dal contesto di come il titolare del trattamento dei dati distribuisce, configura e utilizza Microsoft Azure.Under the General Data Protection Regulation (GDPR), data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are “likely to result in a high risk to the rights and freedoms of natural persons.” There is nothing inherent in Microsoft Azure itself that would necessarily require the creation of a DPIA by a data controller using it. Rather, whether a DPIA is required will be dependent on the details and context of how the data controller deploys, configures, and uses Microsoft Azure.

L'obiettivo di questi documenti è di fornire informazioni riguardanti Microsoft Azure ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.The purpose of this document is to provide data controllers with information about Microsoft Azure that will help them to determine whether a DPIA is needed and, if so, what details to include.

Nota

Microsoft non fornisce alcun consiglio legale in questo documento.Microsoft is not providing any legal advice in this document. Questo documento viene fornito esclusivamente per scopi informativi.This document is being provided for informational purposes only. I clienti sono invitati a collaborare con i responsabili della privacy e il consiglio legale per determinare la necessità e il contenuto di qualsiasi DPIA relativa all'uso di Microsoft Azure o di qualsiasi altro servizio online Microsoft.Customers are encouraged to work with their privacy officers and legal counsel to determine the necessity and content of any DPIAs related to their use of Microsoft Azure or any other Microsoft online service.

Parte 1: determinare se è necessaria una DPIAPart 1 – Determining whether a DPIA is needed

L'articolo 35 del GDPR richiede che un responsabile del trattamento dei dati crei una valutazione dell'impatto sulla protezione dei dati (DPIA) “[d]ove un tipo di elaborazione in particolare nell'uso delle nuove tecnologie e tenendo in considerazione la natura, l'ambito, il contesto e gli scopi dell'elaborazione, è probabile che il risultato presenti un rischio elevato per i diritti e le libertà delle persone fisiche”.Article 35 of the GDPR requires a data controller to create a Data Protection Impact Assessment (DPIA) “[w]here a type of processing in particular using new technologies, and taking into account the nature, scope, context, and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons.” Presenta inoltre particolari fattori che indicano un rischio così elevato, che sono descritti nella tabella seguente: nel determinare se è necessaria una DPIA, un responsabile del trattamento dati deve considerare questi fattori, insieme ad altri fattori rilevanti, alla luce delle implementazioni e degli usi specifici del responsabile di Microsoft Azure.It further sets out particular factors that would indicate such a high risk, which are discussed in the following table: In determining whether a DPIA is needed, a data controller should consider these factors, along with any other relevant factors, in light of the controller’s specific implementation(s) and use(s) of Microsoft Azure.

Fattore di rischio elevatoHigh Risk Factor Informazioni rilevanti su Microsoft AzureRelevant Information about Microsoft Azure
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica.A systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person. Microsoft Azure non fornisce funzionalità per eseguire determinate elaborazioni automatizzate di dati.Microsoft Azure does not provide capabilities to perform certain automated processing of data.

Tuttavia, poiché Azure è un servizio altamente personalizzabile, un titolare del trattamento dei dati potrebbe configurarlo per l'utilizzo di tale elaborazione. I titolari del trattamento dei dati dovrebbero effettuare questa determinazione in base al proprio utilizzo di Azure.However, because Azure is a highly-customizable service, a data controller could potentially configure it to be used for such processing. Controllers should make this determination based on their usage of Azure.
Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali.Processing on a large scale of special categories of data (personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation), or of personal data relating to criminal convictions and offenses. Microsoft Azure non è specificamente progettato per elaborare categorie speciali di dati personali e l'utilizzo di Azure non aumenta il rischio intrinseco dell'elaborazione di un titolare del trattamento dei dati.Microsoft Azure is not specifically designed to process special categories of personal data and the usage of Azure does not increase the inherent risk of a controller’s processing.

Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Microsoft Azure per elaborare categorie speciali di dati enumerate. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tracciare o elaborare in altro modo qualsiasi tipo di dati, comprese categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.However, a data controller could use Microsoft Azure to process the enumerated special categories of data. Microsoft Azure is a highly-customizable service that enables the customer to track or otherwise process any type of data, including special categories of personal data. But as the data processor, Microsoft has no control over such use and has little or no insight into such use. It is incumbent upon the data controller to determine appropriate uses of the data controller’s data.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala.A systematic monitoring of a publicly accessible area on a large scale. Microsoft Azure non è progettato per condurre o facilitare tale monitoraggio.Microsoft Azure is not designed to conduct or facilitate such monitoring.

Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Azure per elaborare dati raccolti attraverso tale monitoraggio. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tracciare o elaborare in altro modo qualsiasi tipo di dati, compreso il monitoraggio dati. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.However, a data controller could use Azure to process data collected through such monitoring. Microsoft Azure is a highly-customizable service that enables the customer to track or otherwise process any type of data, including monitoring data. But as the data processor, Microsoft has no control over such use and has little or no insight into such use. It is incumbent upon the data controller to determine appropriate uses of the data controller’s data.

Parte 2: contenuto di una DPIAPart 2 — Contents of a DPIA

L'articolo 35, comma 7, stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista.Article 35(7) mandates that a Data Protection Impact Assessment specifies the purposes of processing and a systematic description of the envisioned processing. Una descrizione sistematica di una DPIA completa potrebbe includere fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui sono localizzati e trasferiti e le terze parti che possono avere accesso a tali dati.A systematic description of a comprehensive DPIA might include factors such as the types of data processed, how long data is retained, where the data is located and transferred, and what third parties may have access to the data. La DPIA deve inoltre includere:In addition, the DPIA must include:

  • una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
  • una valutazione dei rischi per i diritti e le libertà delle persone fisiche;an assessment of the risks to the rights and freedoms of natural persons; and
  • misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al presente regolamento, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.the measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

La tabella seguente contiene informazioni su Microsoft Azure rilevanti per ciascuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono considerare i dettagli forniti di seguito, insieme a qualsiasi altro fattore rilevante, nel contesto delle specifiche implementazioni e degli usi di Microsoft Azure da parte del titolare.The table below contains information about Microsoft Azure that is relevant to each of those elements. As in Part 1, data controllers must consider the details provided below, along with any other relevant factors, in the context of the controller’s specific implementation(s) and use(s) of Microsoft Azure.

Elemento di una DPIAElement of a DPIA Informazioni rilevanti su Microsoft AzureRelevant Information About Microsoft Azure
Scopi dell'elaborazionePurpose(s) of processing Gli scopi dell'elaborazione dei dati utilizzando Microsoft Azure sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza.The purpose(s) of processing data using Microsoft Azure is determined by the controller that implements, configures, and uses it.

Come specificato dalle Condizioni dei servizi online (OST), Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati del cliente solo per fornire i servizi richiesti al cliente, il titolare del trattamento dei dati. Microsoft non utilizzerà i dati del cliente o le informazioni derivanti da essi per scopi pubblicitari o simili.As specified by the Online Services Terms (OST), Microsoft, as a data processor, processes Customer Data only to provide the requested services to our customer, the data controller. Microsoft will not use Customer Data or information derived from it for any advertising or similar commercial purposes.
Categorie di dati personali trattatiCategories of personal data processed Dati del cliente: tutti i dati, compresi file di testo, audio, video o immagini e software, forniti a Microsoft dal cliente o per suo conto attraverso i servizi aziendali, come definito nelle Condizioni dei servizi online Microsoft.Customer Data — All data, including all text, sound, video, or image files, and software, that are provided to Microsoft by, or on behalf of, a customer through use of the enterprise service. I dati dei clienti includono (1) informazioni che consentono l'identificazione personale degli utenti finali (ad esempio, nomi utente e informazioni di contatto in Azure Active Directory) e contenuti per i clienti che un cliente stesso carica o crea in servizi specifici (ad esempio, contenuti per i clienti in un account di archiviazione di Azure, contenuti per i clienti in un database SQL di Azure o un'immagine della macchina virtuale di un cliente in Macchine virtuali di Azure).Customer Data includes both (1) identifiable information of end users (for example, user names and contact information in Azure Active Directory) and customer content that a customer uploads into or creates in specific services (for example, customer content in an Azure Storage account, customer content of an Azure SQL Database, or a customer’s virtual machine image in Azure Virtual Machines).

Log generati dal sistema: i log e i dati correlati generati da Microsoft che consentono a Microsoft di offrire servizi aziendali agli utenti.System-Generated Logs — Logs and related data generated by Microsoft that help Microsoft provide enterprise services to users. I log generati dal sistema contengono principalmente dati presentati con l'uso di pseudonimi, come un identificatore univoco generato dal sistema, i quali non possono identificare individualmente una singola persona ma sono usati per fornire servizi aziendali agli utenti.System-generated logs contain primarily pseudonymized data, such as unique identifiers generated by the system, that can not on their own identify an individual person but are used to deliver the enterprise services to users. I log generati dal sistema possono anche contenere informazioni identificabili riguardanti gli utenti finali, ad esempio un nome utente.System-generated logs may also contain identifiable information about end users, such as a user name.

Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a richiedere a un servizio online) attraverso un'interazione con Microsoft per ottenere supporto tecnico per i servizi online.Support Data — This is data provided to Microsoft by or on behalf of Customer (or that Customer authorizes Microsoft to obtain from an Online Service) through an engagement with Microsoft to obtain technical support for Online Services.

Per ulteriori dettagli sui dati elaborati da Azure, consultare le Condizioni dei servizi online, nonché il Centro protezione Microsoft.For additional details regarding data processed by Azure, see the Online Services Terms, as well as Microsoft Trust Center.

Conservazione dei datiData retention Microsoft conserverà ed elaborerà i dati dei clienti per tutta la durata del diritto del cliente a usare il servizio online e fino a quando tutti i dati dei clienti non saranno recuperati dal cliente o eliminati in conformità ai termini delle Condizioni dei servizi online.Microsoft will retain and process Customer Data for the duration of the Customer’s right to use the Online Service and until all Customer Data is retrieved by Customer or deleted in accordance with the terms of the OST. In qualsiasi momento per tutta la durata dell'abbonamento, il cliente potrà accedere ed estrarre i dati archiviati in ogni servizio online.At all times during the term of Customer’s subscription, the Customer will have the ability to access and extract Customer Data stored in each Online Service. Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati.Except for free trials and LinkedIn services, Microsoft will retain Customer Data stored in the Online Service in a limited function account for 90 days after expiration or termination of Customer’s subscription so that Customer may extract the data. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati.After the 90-day retention period ends, Microsoft will disable Customer’s account and delete the Customer Data. Il cliente può eliminare i dati personali in base a una richiesta dell'interessato usando le funzionalità descritte nella documentazione del GDPR relativa alle richieste dell'interessato in Azure.The customer can delete personal data pursuant to a Data Subject Request using the capabilities described in the Azure Data Subject Request GDPR Documentation.
Ubicazione e trasferimento dei dati personaliLocation and transfers of personal data I clienti hanno la possibilità di effettuare il provisioning dei dati dei clienti inattivi entro regioni geografiche specifiche, salvo alcune eccezioni come stabilito nelle Condizioni dei servizi online. Ulteriori dettagli riguardanti le distribuzioni dei servizi e la residenza dei dati sono disponibili anche nella pagina Web Infrastruttura globale di Azure.Customers have the ability to provision Customer Data at rest within specified geographic regions, subject to certain exceptions as set out in the OST. Additional details regarding service deployments and data residency can also be found at the Azure Global Infrastructure webpage.

Per i dati personali dello Spazio economico europeo e della Svizzera, Microsoft garantirà che i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale siano soggetti a garanzie appropriate come descritto nell'articolo 46 del RGPD. Oltre agli impegni di Microsoft ai sensi delle clausole contrattuali standard per i responsabili e altri contratti modello, Microsoft è certificata per i framework EU-U.S. e Swiss-U.S. Privacy Shield e gli impegni che comportano.For personal data from the European Economic Area and Switzerland, Microsoft will ensure that transfers of Personal Data to a third country or an international organization are subject to appropriate safeguards as described in Article 46 of the GDPR. In addition to Microsoft’s commitments under the Standard Contractual Clauses for processors and other model contracts, Microsoft is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail.
Condivisione dati con terze partiData sharing with third parties Microsoft condivide i dati con terze parti che agiscono come altri responsabili del trattamento dei dati (ovvero terzisti che trattano dati personali) per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni.Microsoft shares data with third parties acting as our subprocessors (that is, subcontractors which process personal data) to support functions such as customer and technical support, service maintenance, and other operations. Tutti i terzisti ai quali Microsoft trasferisce i dati dei clienti o i dati di supporto avranno stipulato accordi scritti con Microsoft che non sono meno protettivi dei termini di protezioni dati delle Condizioni dei servizi online.Any subcontractors to which Microsoft transfers Customer Data or Support Data will have entered into written agreements with Microsoft that are no less protective than the Data Protection Terms of the Online Services Terms. Tutti i terzisti con cui vengono condivisi i dati dei clienti o i dati di supporto sono inclusi negli elenchi dei terzisti (consultare l'elenco dei responsabili secondari del trattamento dei dati).All third-party subcontractors with which Customer Data or Support Data is shared are included in the Lists of subcontractors (see “We limit access by subprocessors”).

Le informazioni relative alla risposta di Microsoft alle forze dell'ordine e le richieste di terze parti inerenti dati dei clienti e ai dati di supporto si trovano nelle Condizioni dei servizi online.Information regarding Microsoft’s response to law enforcement and third-party requests for Customer Data and Support Data is located in the Online Services Terms. Salvo divieti legali, Microsoft proverà a reindirizzare le forze dell'ordine o le terze parti direttamente al cliente.Unless Microsoft is legally prohibited from doing so, Microsoft will attempt to redirect the law enforcement agency or third party directly to the Customer.
Diritti del soggetto dei datiData subject rights Quando opera come responsabile, Microsoft mette a disposizione del cliente (ovvero il titolare del trattamento dei dati) i dati personali degli interessati e la capacità di soddisfare le richieste quando questi esercitano i propri diritti ai sensi del RGPD. Microsoft opera in modo coerente con la funzionalità del prodotto e con il ruolo di responsabile del trattamento dei dati. Se riceve una richiesta da parte del soggetto dei dati di un cliente di esercitare uno o più dei suoi diritti ai sensi del RGPD, la richiesta sarà reindirizzata al titolare del trattamento dei dati.When operating as a processor, Microsoft makes available to the customer (a.k.a. the data controller) the personal data of its data subjects and the ability to fulfill data subject requests when they exercise their rights under the GDPR. Microsoft does so in a manner consistent with the functionality of the product and its role as a data processor.  If Microsoft receives a request from the customer’s data subjects to exercise one or more of its rights under the GDPR, the request will be redirected to the data controller.

La documentazione RGPD della richiesta dell'interessato in Azure descrive come supportare i diritti degli interessati utilizzando le funzionalità in Azure.The Azure Data Subject Request GDPR Documentation provides a description of how to support data subject rights using the capabilities in Azure.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopiAn assessment of the necessity and proportionality of the processing operations in relation to the purposes Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità dell'elaborazione.Such an assessment will depend on the data controller’s needs and purposes of processing.

Per quanto riguarda l'elaborazione effettuata da Microsoft, è necessaria e proporzionale allo scopo di fornire i servizi al titolare del trattamento. Microsoft assume questo impegno nelle Condizioni dei servizi online.With regard to the processing carried out by Microsoft, such processing is necessary and proportional for the purpose of providing the services to the data controller. Microsoft makes this commitment in the OST.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei datiAn assessment of the risks to the rights and freedoms of data subjects I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Microsoft Azure dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza.The key risks to the rights and freedoms of data subjects from the use of Microsoft Azure will be a function of how and in what context the data controller implements, configures, and uses Microsoft Azure.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono riportate nelle Condizioni dei servizi online, come spiegato più in dettaglio di seguito.However, as with any service, personal data held in the service may be at risk of unauthorized access or inadvertent disclosure. Measures Microsoft takes to address such risks are discussed in the OST, as further detailed below.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi del soggetto dei dati di altre personeThe measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR taking into account the rights and legitimate interests of data subjects and other persons concerned Microsoft si impegna a proteggere la sicurezza dei dati dei clienti. Le misure di sicurezza adottate da Microsoft sono descritte in dettaglio nelle Condizioni dei servizi online. Microsoft is committed to helping protect the security of Customer Data. The security measures Microsoft takes are described in detail in the OST.

Microsoft rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all'avanguardia. Microsoft sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce. Ulteriori informazioni relative alla governance del cloud e alle procedure relative alla privacy sono disponibili alla pagina Governance del cloud e privacy del centro protezione. Microsoft complies with strict security standards and industry-leading data protection methodology. Microsoft is continually improving its systems to deal with new threats. More information regarding cloud governance and privacy practices is available at Trust Center’s Cloud Governance & Privacy page.

Microsoft prende misure tecniche e organizzative ragionevoli e appropriate per salvaguardare i dati personali che elabora. Queste misure includono, a titolo esemplificativo ma non esaustivo, politiche e pratiche interne sulla privacy, impegni contrattuali e certificazioni standard internazionali e regionali. Ulteriori informazioni sono disponibili alla pagina sugli standard di privacy del centro protezione. Microsoft takes reasonable and appropriate technical and organizational measures to safeguard the personal data that it processes. These measures include, but are not limited to, internal privacy policies and practices, contractual commitments, and international and regional standard certifications. More information is available at Trust Center's Privacy Standards page.

Microsoft fornisce ai clienti materiali di sicurezza e privacy significativi e trasparenti che aiutano a spiegare l'uso e l'elaborazione dei dati personali da parte di Microsoft. I clienti sono invitati a contattare Microsoft per eventuali domande. Microsoft provides significant, transparent customer facing security and privacy materials to help explain Microsoft’s use and processing of personal data. Customers are encouraged to contact Microsoft with questions.

Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record.Further, Microsoft complies with all other GDPR obligations that apply to data processors, including but not limited to, data protection impact assessments and record keeping.

Ulteriori informazioniLearn more