Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft AzureData Protection Impact Assessments: Guidance for Data Controllers Using Microsoft Azure

Ai sensi del regolamento generale sulla protezione dei dati (RGPD), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per le operazioni di elaborazione che potrebbero "comportare un alto rischio per i diritti e le libertà delle persone fisiche". Nessuna delle caratteristiche intrinseche di Microsoft Azure richiede necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo utilizza. Piuttosto, la richiesta di una DPIA dipenderà dai dettagli e dal contesto di come il titolare del trattamento dei dati distribuisce, configura e utilizza Microsoft Azure.Under the General Data Protection Regulation (GDPR), data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are "likely to result in a high risk to the rights and freedoms of natural persons." There is nothing inherent in Microsoft Azure itself that would necessarily require the creation of a DPIA by a data controller using it. Rather, whether a DPIA is required will be dependent on the details and context of how the data controller deploys, configures, and uses Microsoft Azure.

L'obiettivo di questi documenti è di fornire informazioni riguardanti Microsoft Azure ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.The purpose of this document is to provide data controllers with information about Microsoft Azure that will help them to determine whether a DPIA is needed and, if so, what details to include.

Nota

Microsoft non fornisce alcun consiglio legale in questo documento.Microsoft is not providing any legal advice in this document. Questo documento viene fornito esclusivamente per scopi informativi.This document is being provided for informational purposes only. I clienti sono invitati a collaborare con i responsabili della privacy e il consiglio legale per determinare la necessità e il contenuto di qualsiasi DPIA relativa all'uso di Microsoft Azure o di qualsiasi altro servizio online Microsoft.Customers are encouraged to work with their privacy officers and legal counsel to determine the necessity and content of any DPIAs related to their use of Microsoft Azure or any other Microsoft online service.

Parte 1: determinare se è necessaria una DPIAPart 1: Determining whether a DPIA is needed

L'articolo 35 del GDPR richiede che un responsabile del trattamento dei dati crei una valutazione dell'impatto sulla protezione dei dati (DPIA) "[d]ove un tipo di elaborazione in particolare nell'uso delle nuove tecnologie e tenendo in considerazione la natura, l'ambito, il contesto e gli scopi dell'elaborazione, è probabile che il risultato presenti un rischio elevato per i diritti e le libertà delle persone fisiche".Article 35 of the GDPR requires a data controller to create a Data Protection Impact Assessment (DPIA) "[w]here a type of processing in particular using new technologies, and taking into account the nature, scope, context, and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons." Presenta inoltre particolari fattori che indicano un rischio così elevato, che sono descritti nella tabella seguente: nel determinare se è necessaria una DPIA, un responsabile del trattamento dati deve considerare questi fattori, insieme ad altri fattori rilevanti, alla luce delle implementazioni e degli usi specifici del responsabile di Microsoft Azure.It further sets out particular factors that would indicate such a high risk, which is discussed in the following table: To determine whether a DPIA is needed, a data controller should consider these factors, along with any other relevant factors, in light of the controller's specific implementation(s) and use(s) of Microsoft Azure.

Fattore di rischio elevatoHigh Risk Factor Informazioni rilevanti su Microsoft AzureRelevant Information about Microsoft Azure
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica.A systematic and extensive evaluation of personal aspects relating to natural persons that is based on automated processing, including profiling and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person. Microsoft Azure non fornisce funzionalità per eseguire determinate elaborazioni automatizzate di dati.Microsoft Azure does not provide capabilities to perform certain automated processing of data.

Tuttavia, poiché Azure è un servizio altamente personalizzabile, un titolare del trattamento dei dati potrebbe configurarlo per l'utilizzo di tale elaborazione. I titolari del trattamento dei dati dovrebbero effettuare questa determinazione in base al proprio utilizzo di Azure.However, because Azure is a highly customizable service, a data controller could potentially configure it to be used for such processing. Controllers should make this determination based on their usage of Azure.
Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali.Processing on a large scale of special categories of data (personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation), or of personal data relating to criminal convictions and offenses. Microsoft Azure non è progettato per elaborare categorie speciali di dati personali e l'utilizzo di Azure non aumenta il rischio intrinseco dell'elaborazione di un titolare del trattamento dei dati.Microsoft Azure is not designed to process special categories of personal data and the usage of Azure does not increase the inherent risk of a controller's processing.

Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Microsoft Azure per elaborare categorie speciali di dati enumerate. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tracciare o elaborare in altro modo qualsiasi tipo di dati, comprese categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.However, a data controller could use Microsoft Azure to process the enumerated special categories of data. Microsoft Azure is a highly customizable service that enables the customer to track or otherwise process any type of data, including special categories of personal data. But as the data processor, Microsoft has no control over such use and has little or no insight into such use. It is incumbent upon the data controller to determine appropriate uses of the data controller's data.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala.A systematic monitoring of a publicly accessible area on a large scale. Microsoft Azure non è progettato per condurre o facilitare tale monitoraggio.Microsoft Azure is not designed to conduct or facilitate such monitoring.

Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Azure per elaborare dati raccolti attraverso tale monitoraggio. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tracciare o elaborare in altro modo qualsiasi tipo di dati, compreso il monitoraggio dati. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.However, a data controller could use Azure to process data collected through such monitoring. Microsoft Azure is a highly customizable service that enables the customer to track or otherwise process any type of data, including monitoring data. But as the data processor, Microsoft has no control over such use and has little or no insight into such use. It is incumbent upon the data controller to determine appropriate uses of the data controller's data.

Parte 2: contenuto di una DPIAPart 2: Contents of a DPIA

L'articolo 35, comma 7, stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista.Article 35(7) mandates that a Data Protection Impact Assessment specifies the purposes of processing and a systematic description of the envisioned processing. Una descrizione sistematica di una DPIA completa potrebbe includere fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui sono localizzati e trasferiti e le terze parti che possono avere accesso a tali dati.A systematic description of a comprehensive DPIA might include factors such as the types of data processed, how long data is retained, where the data is located and transferred, and what third parties may have access to the data. La DPIA deve inoltre includere:In addition, the DPIA must include:

  • una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
  • una valutazione dei rischi per i diritti e le libertà delle persone fisiche;an assessment of the risks to the rights and freedoms of natural persons; and
  • misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al presente regolamento, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.the measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

La tabella seguente contiene informazioni su Microsoft Azure rilevanti per ciascuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono considerare i dettagli forniti di seguito, insieme a qualsiasi altro fattore rilevante, nel contesto delle specifiche implementazioni e degli usi di Microsoft Azure da parte del titolare.The following table contains information about Microsoft Azure that is relevant to each of those elements. As in Part 1, data controllers must consider the details provided in the table, along with any other relevant factors, in the context of the controller's specific implementation(s) and use(s) of Microsoft Azure.

Elemento di una DPIAElement of a DPIA Informazioni rilevanti su Microsoft AzureRelevant Information About Microsoft Azure
Scopi dell'elaborazionePurpose(s) of processing Gli scopi dell'elaborazione dei dati utilizzando Microsoft Azure sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza.The purpose(s) of processing data using Microsoft Azure is determined by the controller that implements, configures, and uses it.

Come specificato dalle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali, Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti solo per fornire i Servizi Online al cliente, in conformità con le istruzioni documentate del cliente.As specified by the Online Services Terms and Data Protection Addendum, Microsoft, as a data processor, processes Customer Data to provide Customer the Online Services in accordance with Customer's documented instructions.

Come descritto dettagliatamente nelle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali standard, Microsoft usa i dati personali anche per supportare un set limitato di operazioni commerciali legittime, costituite da: (1) gestione della fatturazione e dell'account; (2) retribuzioni (ad esempio, calcolo di commissioni per i dipendenti e incentivi per i partner); (3) creazione di report e modellazione interni (ad esempio previsione, ricavi, pianificazione della capacità, strategia di prodotto); (4) combattere frodi, crimini informatici o attacchi informatici che possono influire sui prodotti Microsoft o su Microsoft; (5) migliorare le funzionalità principali di accessibilità, privacy o efficienza energetica; e (6) creazione di relazioni finanziarie e conformità con gli obblighi legali (fatte salve le limitazioni sulla divulgazione dei dati dei clienti descritte nelle Condizioni dei servizi online).As detailed in the standard Online Services Terms and Data Protection Addendum, Microsoft also uses Personal Data to support a limited set of legitimate business operations consisting of: (1) billing and account management; (2) compensation (for example, calculating employee commissions and partner incentives); (3) internal reporting and modeling (for example, forecasting, revenue, capacity planning, product strategy); (4) combatting fraud, cybercrime, or cyber-attacks that may affect Microsoft or Microsoft Products; (5) improving the core functionality of accessibility, privacy, or energy efficiency; and (6) financial reporting and compliance with legal obligations (subject to the limitations on disclosure of Customer Data outlined in the Online Service Terms).

Microsoft è il titolare del trattamento dei dati personali a supporto di queste specifiche operazioni commerciali legittime.Microsoft is controller of the processing of personal data to support these specific legitimate business operations. In generale, Microsoft aggrega i dati personali prima di usarli per le operazioni commerciali legittime, eliminando la possibilità di identificare specifici utenti e usando i dati personali nel formato meno identificabile possibile a supporto dell'elaborazione necessaria per le operazioni commerciali legittime.Generally, Microsoft aggregates Personal Data before using it for our legitimate business operations, removing Microsoft's ability to identify specific individuals, and uses personal data in the least identifiable form that will support processing necessary for legitimate business operations.

Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili.Microsoft will not use Customer Data or information derived from it for profiling or for advertising or similar commercial purposes.
Categorie di dati personali trattatiCategories of personal data processed *Dati dei clienti: tutti i dati, compresi file di testo, audio, video o immagini e software, forniti a Microsoft da un cliente o per suo conto attraverso l'uso dei servizi aziendali.*Customer Data—All data, including all text, sound, video, or image files, and software, that are provided to Microsoft by, or on behalf of, a customer through use of the enterprise service. I dati dei clienti includono (1) informazioni che consentono l'identificazione personale degli utenti finali (ad esempio, nomi utente e informazioni di contatto in Azure Active Directory) e contenuti per i clienti che un cliente stesso carica o crea in servizi specifici (ad esempio, contenuti per i clienti in un account di archiviazione di Azure, contenuti per i clienti in un database SQL di Azure o un'immagine della macchina virtuale di un cliente in Macchine virtuali di Azure).Customer Data includes both (1) identifiable information of end users (for example, user names and contact information in Azure Active Directory) and customer content that a customer uploads into or creates in specific services (for example, customer content in an Azure Storage account, customer content of an Azure SQL Database, or a customer's virtual machine image in Azure Virtual Machines).

*Dati generati dal servizio: i log e i dati correlati generati da Microsoft che consentono a Microsoft di offrire servizi aziendali agli utenti.*Service-Generated Data—Logs and related data generated by Microsoft that help Microsoft provide enterprise services to users. I log generati dal servizio contengono principalmente dati pseudonimizzati, associati a identificatori univoci generati dal sistema, che non possono identificare individualmente una singola persona ma sono usati per fornire servizi aziendali agli utenti.Service-generated logs contain primarily pseudonymized data, associated with unique identifiers generated by the system, that cannot on their own identify an individual person but are used to deliver the enterprise services to users. I log generati dal servizio possono anche contenere informazioni identificabili riguardanti gli utenti finali, ad esempio un nome utente.These service-generated logs may also contain identifiable information about end users, such as a username.

*Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a ottenere da un Servizio online) attraverso un impegno con Microsoft per ottenere supporto tecnico per i servizi online.*Support Data—This is data provided to Microsoft by or on behalf of Customer (or that Customer authorizes Microsoft to obtain from an Online Service) through an engagement with Microsoft to obtain technical support for Online Services.

Per ulteriori dettagli sui dati elaborati da Azure, consultare le Condizioni per l'Utilizzo dei Servizi Online, incluso il contratto relativo al trattamento dei dati, nonché il Centro protezione Microsoft.For more information regarding data processed by Azure, see the Online Services Terms, including the Data Processing Agreement as well as Microsoft Trust Center.

Conservazione dei datiData retention Microsoft conserverà ed elaborerà i dati dei clienti per tutta la durata del diritto del cliente a usare il servizio online e fino a quando tutti i dati dei clienti non saranno recuperati dal cliente o eliminati in conformità ai termini delle Condizioni dei servizi online.Microsoft will retain and process Customer Data for the duration of the Customer's right to use the Online Service and until all Customer Data is retrieved by Customer or deleted in accordance with the terms of the OST. In qualsiasi momento per tutta la durata dell'abbonamento, il cliente potrà accedere ed estrarre i dati archiviati in ogni servizio online.At all times during the term of Customer's subscription, the Customer will have the ability to access and extract Customer Data stored in each Online Service. Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati.Except for free trials and LinkedIn services, Microsoft will retain Customer Data stored in the Online Service in a limited function account for 90 days after expiration or termination of Customer's subscription so that Customer may extract the data. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati.After the 90-day retention period ends, Microsoft will disable Customer's account and delete the Customer Data. Il cliente può eliminare i dati personali in base a una richiesta dell'interessato usando le funzionalità descritte nella documentazione del GDPR relativa alle richieste dell'interessato in Azure.The customer can delete personal data pursuant to a Data Subject Request using the capabilities described in the Azure Data Subject Request GDPR Documentation.
Ubicazione e trasferimento dei dati personaliLocation and transfers of personal data I clienti hanno la possibilità di effettuare il provisioning dei dati dei clienti inattivi entro aree geografiche specifiche, salvo alcune eccezioni come stabilito, con determinate eccezioni, come indicato nelle Condizioni per l'Utilizzo dei Servizi Online.Customers have the ability to provision Customer Data at rest within specified geographic regions, subject to certain exceptions as set out in the OST. Ulteriori dettagli riguardanti le distribuzioni dei servizi e la residenza dei dati sono disponibili anche nell'Allegato 1 delle Condizioni per l'Utilizzo dei Servizi Online e nella pagina Web Infrastruttura globale di Azure.Additional details regarding service deployments and data residency can also be found in Attachment 1 of the Online Services Terms (OST) and the Azure Global Infrastructure webpage.

Per i dati personali dello Spazio economico europeo e della Svizzera, Microsoft garantirà che i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale siano soggetti a garanzie appropriate, secondo quanto descritto nell'articolo 46 del GDPR.For personal data from the European Economic Area and Switzerland, Microsoft will ensure that transfers of Personal Data to a third country or an international organization are subject to appropriate safeguards as described in Article 46 of the GDPR. Oltre agli impegni di Microsoft ai sensi delle clausole contrattuali standard per i responsabili e altri contratti modello, Microsoft è certificata in base agli accordi quadro sullo Scudo UE-USA e Svizzera-USA per la privacy e ai relativi impegni.In addition to Microsoft's commitments under the Standard Contractual Clauses for processors and other model contracts, Microsoft is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail.
Condivisione dei dati con terze parti responsabili del trattamentoData sharing with third-party subprocessors Microsoft condivide i dati con terze parti che agiscono come altri responsabili del trattamento dei dati per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni.Microsoft shares data with third parties acting as our subprocessors to support functions such as customer and technical support, service maintenance, and other operations. Tutti i terzisti ai quali Microsoft trasferisce i dati dei clienti, i dati per il Supporto o i dati personali avranno stipulato accordi scritti con Microsoft che non sono meno protettivi dei termini di protezioni dati delle Condizioni per l'Utilizzo dei Servizi Online.Any subcontractors to which Microsoft transfers Customer Data, Support Data, or Personal Data will have entered into written agreements with Microsoft that are no less protective than the Data Protection Terms of the Online Services Terms. Tutti i terzisti sotto-responsabili del trattamento con cui sono condivisi i dati del cliente dei Servizi Online Core di Microsoft sono inclusi nell'elenco dei subfornitori dei servizi online.All third-party subprocessors with which Customer Data from Microsoft's Core Online Services is shared are included in the Online Services Subcontractor list. Tutti i terzisti sotto-responsabili del trattamento che potrebbero avere accesso ai dati del supporto (compresi i dati del cliente che i clienti scelgono di condividere durante le loro interazioni con il supporto) sono inclusi nell'elenco dei fornitori di supporto commerciale di Microsoft. All third-party subprocessors that may access Support Data (including Customer Data that customers choose to share during their support interactions) are included in the Microsoft Commercial Support Contractors list. 
Diritti del soggetto interessatoData subject rights Quando opera come responsabile del trattamento, Microsoft mette a disposizione del cliente (noto anche come titolare del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR.When operating as a processor, Microsoft makes available to the customer (also known as the data controller) the personal data of its data subjects and the ability to fulfill data subject requests when they exercise their rights under the GDPR. Microsoft lo fa in modo coerente con la funzionalità del prodotto e con il suo ruolo di responsabile del trattamento dei dati.Microsoft does so in a manner consistent with the functionality of the product and its role as a data processor.Se riceviamo una richiesta da parte dell'interessato di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati.  If Microsoft receives a request from the customer's data subjects to exercise one or more of its rights under the GDPR, the request will be redirected to the data controller.

La Guida per le richieste degli interessati del trattamento dei dati in Azure fornisce una descrizione per il titolare del trattamento dei dati su come supportare i diritti degli interessati usando le funzionalità di Azure.The Azure Data Subject Requests Guide provides a description to the data controller on how to support data subject rights using the capabilities in Azure.

Le richieste dell'interessato per l'esercizio di diritti nell'ambito del GDPR per i dati personali elaborati a supporto di processi aziendali legittimi devono essere dirette a Microsoft, come indicato nell'Informativa sulla privacy di Microsoft.Requests from a data subject to exercise rights under the GDPR for personal data processed to support the legitimate business processes should be directed to Microsoft, as clarified in the Microsoft Privacy Statement.

Microsoft generalmente aggrega i dati personali prima di usarli per le proprie operazioni commerciali legittime e non è in grado di identificare i dati personali per un individuo specifico nell'aggregazione.Microsoft generally aggregates personal before using it for our legitimate business operations and is not in a position to identify personal data for a specific individual in the aggregate. Questa azione riduce significativamente i rischi per la privacy di ogni singolo utente.This action significantly reduces the privacy risk to the individual. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento.Where Microsoft is not in a position to identify the individual, it cannot support data subject rights for access, erasure, portability, or the restriction or objection of processing.

La documentazione RGPD della richiesta dell'interessato in Azure descrive come supportare i diritti degli interessati utilizzando le funzionalità in Azure.The Azure Data Subject Request GDPR Documentation provides a description of how to support data subject rights using the capabilities in Azure.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopiAn assessment of the necessity and proportionality of the processing operations in relation to the purposes Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità dell'elaborazione.Such an assessment will depend on the data controller's needs and purposes of processing.

Microsoft adotta misure quali l'anonimizzazione o l'aggregazione dei dati personali che utilizza a supporto di operazioni commerciali legittime per supportare l'erogazione dei servizi, minimizzando il rischio del trattamento per i soggetti interessati che si avvalgono del servizio.Microsoft takes measures such as the anonymization or aggregation of personal data used by Microsoft to support legitimate business operations to support provision of the services, minimizing the risk of such processing to data subjects that use the service.

Per quanto riguarda l'elaborazione effettuata da Microsoft, è necessaria e proporzionale allo scopo di fornire i servizi al titolare del trattamento. Microsoft assume questo impegno nelle Condizioni dei servizi online.With regard to the processing carried out by Microsoft, such processing is necessary and proportional for the purpose of providing the services to the data controller. Microsoft makes this commitment in the OST.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei datiAn assessment of the risks to the rights and freedoms of data subjects I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Microsoft Azure dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza.The key risks to the rights and freedoms of data subjects from the use of Microsoft Azure will be a function of how and in what context the data controller implements, configures, and uses Microsoft Azure.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria.However, as with any service, personal data held in the service may be at risk of unauthorized access or inadvertent disclosure. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nell'OST, come indicato nello specifico di seguito.Measures Microsoft takes to address such risks are discussed in the OST, as further detailed later in this article.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi del soggetto dei dati di altre personeThe measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR taking into account the rights and legitimate interests of data subjects and other persons concerned Microsoft si impegna a proteggere la sicurezza dei dati dei clienti. Le misure di sicurezza adottate da Microsoft sono descritte in dettaglio nelle Condizioni dei servizi online. Microsoft is committed to helping protect the security of Customer Data. The security measures Microsoft takes are described in detail in the OST.

Microsoft rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all'avanguardia.Microsoft complies with strict security standards and industry-leading data protection methodology. Microsoft sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce.Microsoft is continually improving its systems to deal with new threats. Ulteriori informazioni relative alla governance del cloud e alle procedure relative alla privacy sono disponibili alla pagina Governance del cloud e privacy del Centro protezione.More information regarding cloud governance and privacy practices is available at Trust Center's Cloud Governance & Privacy page.

Microsoft prende misure tecniche e organizzative ragionevoli e appropriate per salvaguardare i dati personali che elabora. Queste misure includono, a titolo esemplificativo ma non esaustivo, politiche e pratiche interne sulla privacy, impegni contrattuali e certificazioni standard internazionali e regionali. Ulteriori informazioni sono disponibili alla pagina sugli standard di privacy del centro protezione. Microsoft takes reasonable and appropriate technical and organizational measures to safeguard the personal data that it processes. These measures include, but are not limited to, internal privacy policies and practices, contractual commitments, and international and regional standard certifications. More information is available at Trust Center's Privacy Standards page.

Microsoft fornisce ai clienti materiali di sicurezza e privacy significativi e trasparenti che aiutano a spiegare l'uso e l'elaborazione dei dati personali da parte di Microsoft.Microsoft provides significant, transparent customer facing security and privacy materials to help explain Microsoft's use and processing of personal data. I clienti sono invitati a contattare Microsoft per eventuali domande.Customers are encouraged to contact Microsoft with questions.

Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record.Further, Microsoft complies with all other GDPR obligations that apply to data processors, including but not limited to, data protection impact assessments and record keeping.

Quando Microsoft elabora i dati personali per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati.Where Microsoft processes personal data for its legitimate business operations, it complies with GDPR obligations that apply to data controllers.

Ulteriori informazioniLearn more