Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft Office 365Data Protection Impact Assessments: Guidance for Data Controllers Using Microsoft Office 365

Ai sensi del regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per le operazioni di trattamento che potrebbero ‘comportare un alto rischio per i diritti e le libertà delle persone fisiche’. Nessuna delle caratteristiche intrinseche di Microsoft Office 365 richiede necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo utilizza. Piuttosto, la necessità di una DPIA dipenderà dai dettagli e dal contesto di come il titolare del trattamento dei dati distribuisce, configura e utilizza Office 365.Under the General Data Protection Regulation (GDPR), data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are 'likely to result in a high risk to the rights and freedoms of natural persons'. There is nothing inherent in Microsoft Office 365 that would necessarily require the creation of a DPIA by a data controller using it. Rather, whether a DPIA is required will be dependent on the details and context of how you, as the data controller, deploy, configure, and use Office 365.

Nella parte 1 di questo documento sono disponibili informazioni su Office 365, che consentono di determinare se è necessario un DPIA.Part 1 of this document provides information about Office 365 to help you, as a data controller, determine whether a DPIA is needed. Se la risposta è sì, le parti 2 e 3 del documento forniscono le informazioni chiave di Microsoft che possono essere utili per la bozza.If the answer is 'yes,' Parts 2 and 3 of this document provide key information from Microsoft that can help draft it. In particolare, la parte 2 fornisce le risposte applicabili a tutti i servizi di Office 365 per ognuno degli elementi necessari di un DPIA.Specifically, Part 2 provides answers applicable to all Office 365 services for each of the required elements of a DPIA. La parte 3 include altre informazioni specifiche relative al prodotto per fornire le informazione più rilevanti ai clienti ai fini della stesura di DPIA.Part 3 provides additional product-specific information for a number of the most relevant information needs of our customers for purposes of drafting their own DPIAs. La parte 3 include anche un documento DPIA esplicativo che può essere scaricato e modificato in modo da semplificare la stesura del DPIA.Part 3 also includes an illustrative DPIA document that you can download and modify to make drafting DPIAs easier for you.

Le applicazioni e i servizi di Office 365 includono, ma non si limitano a, Exchange Online, SharePoint Online, OneDrive for business, Yammer e Microsoft Teams.Office 365 applications and services, include, but are not limited to, Exchange Online, SharePoint Online, OneDrive for Business, Yammer, and Microsoft Teams. Un elenco di servizi disponibili più completo tramite Office 365 può essere visualizzato nelle tabelle 1 e 2 della Guida alle richieste dell’interessato per Office 365.A more complete list of services available through Office 365 can be seen in Tables 1 and 2 of the Office 365 Data Subject Request Guide.

Parte 1: determinare se è necessaria una DPIAPart 1: Determining whether a DPIA is needed

L'articolo 35 del GDPR richiede che un titolare del trattamento dei dati crei una valutazione dell'impatto sulla protezione dei dati ‘allorché un tipo di trattamento prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche’.Article 35 of the GDPR requires a data controller to create a Data Protection Impact Assessment 'where a type of processing in particular using new technologies, and taking into account the nature, scope, context, and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons.' Definisce inoltre specifici fattori che indicherebbero tale rischio elevato, che vengono trattati nella tabella seguente.It further sets out particular factors that would indicate such a high risk, which are discussed in the following table. Per determinare se è necessaria una DPIA, un titolare del trattamento dei dati deve considerare questi fattori, insieme ad altri fattori pertinenti, alla luce delle implementazioni e degli utilizzi specifici di Office 365.In determining whether a DPIA is needed, you, as a data controller should consider these factors, along with any other relevant factors, in light of the controller's specific implementation(s) and use(s) of Office 365.

Fattore di rischioRisk Factor Informazioni rilevanti su Office 365Relevant Information about Office 365
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica.A systematic and extensive evaluation of personal aspects relating to natural persons that is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person A seconda della configurazione del titolare del trattamento dei dati, Office 365 potrebbe eseguire determinate attività di trattamento automatizzato dei dati, ad esempio l'analisi eseguita da Workplace Analytics, che consente al titolare del trattamento dei dati di ricavare informazioni dettagliate su come le persone collaborano all'interno di un'organizzazione in base a informazioni delle intestazioni del calendario e della posta elettronica dalle cassette postali dell'utente.Depending upon the data controller's configuration, Office 365 may perform certain automated processing of data, such as the analysis performed by Workplace Analytics that allows the data controller to derive insights on how people collaborate within an organization based on email and calendar header information from user's mailboxes.

Office 365 non è progettato per l'esecuzione automatica del trattamento come base per decisioni che producono effetti legali o altrettanto significativi sugli individui.Office 365 is not designed to perform automated processing as the basis for decisions that produce legal or similarly significant effects on individuals. Tuttavia, poiché Office 365 è un servizio ampiamente personalizzabile, un titolare del trattamento dei dati potrebbe potenzialmente usarlo per tale trattamento.However, because Office 365 is a highly customizable service, a data controller could potentially use it for such processing.
Elaborazione su larga scala 1 di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale ed elaborazione di dati genetici, dati biometrici per lo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penaliProcessing on a large scale 1 of special categories of data (personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation), or of personal data relating to criminal convictions and offenses Office 365 non è progettato specificamente per trattare categorie speciali di dati personali.Office 365 is not designed to process special categories of personal data.

Tuttavia, un titolare del trattamento dei dati potrebbe usare Office 365 per trattare le categorie speciali di dati elencate.However, a data controller could use Office 365 to process the enumerated special categories of data. Office 365 è un servizio altamente personalizzabile che consente al cliente di tracciare o trattare in altro modo qualsiasi tipo di dati, comprese le categorie speciali di dati personali.Office 365 is a highly customizable service that enables the customer to track or otherwise process any type of personal data, including special categories of personal data. Un uso di questo tipo è rilevante per la decisione del titolare del trattamento della necessità o meno di una DPIA.Any such use is relevant to a controller's determination of whether a DPIA is needed. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né, solitamente, alcuna conoscenza di tale utilizzo.But as the data processor, Microsoft has no control over such use and typically would have little or no insight into such use.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scalaA systematic monitoring of a publicly accessible area on a large scale Office 365 non è progettato per condurre o facilitare tale monitoraggio.Office 365 is not designed to conduct or facilitate such monitoring.

Tuttavia, un titolare del trattamento dei dati potrebbe utilizzarlo per elaborare i dati raccolti attraverso tale monitoraggio.However, a data controller could use it to process data collected through such monitoring.

Nota

1 Rispetto ai criteri per un trattamento su "larga scala", la Considerazione iniziale 91 del GDPR chiarisce che: "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato.1 With respect to the criteria that the processing be on a "large scale," Recital 91 of the GDPR clarifies that: "The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional, or lawyer. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d'impatto sulla protezione dei dati".In such cases, a data protection impact assessment should not be mandatory."

Parte 2: contenuto di una DPIAPart 2: Contents of a DPIA

L'articolo 35, comma 7del GDPR stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista.GDPR Article 35(7) mandates that a Data Protection Impact Assessment specifies the purposes of processing and a systematic description of the envisioned processing. Nelle DPIA di Microsoft, tale descrizione sistematica include fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui si trovano e le terze parti che potrebbero avere accesso a tali dati.In Microsoft's DPIAs, such systematic description includes factors such as the types of data processed, how long data is retained, where the data is located and transferred, and what third parties may have access to the data. La DPIA deve inoltre includere:In addition, the DPIA must include:

  • una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
  • una valutazione dei rischi per i diritti e le libertà delle persone fisiche;an assessment of the risks to the rights and freedoms of natural persons; and
  • misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al regolamento generale sulla protezione dei dati, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with the General Data Protection Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

La tabella seguente contiene informazioni chiave di Microsoft che possono essere utili per la stesura di DPIA.The following table provides key information from Microsoft that can help with your DPIA drafting. Sono disponibili informazioni su Office 365 rilevanti per ogni elemento di DPIA.It contains information about Office 365 that is relevant to each of the required elements of a DPIA. Come nella Parte 1, i titolari del trattamento dei dati sono tenuti a tenere in considerazione i dettagli riportati di seguito, oltre ai dettagli delle loro implementazioni e usi specifici di Office 365.As in Part 1, data controllers must consider the details provided below, along with the details of its own specific implementation(s) and use(s) of Office 365.

Fattori di rischioRisk Factors Informazioni rilevanti su Office 365Relevant Information About Office 365
Finalità del trattamentoPurpose(s) of processing Le finalità del trattamento dei dati con Office 365 sono determinate dal titolare del trattamento dei dati che lo implementa, configura e utilizza.The purpose(s) of processing data using Office 365 is determined by the controller that implements, configures, and uses it.

Come specificato dalle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali, Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti solo per fornire i Servizi Online al cliente, in conformità con le istruzioni documentate del cliente.As specified by the Online Services Terms and Data Protection Addendum, Microsoft, as a data processor, processes Customer Data to provide Customer the Online Services in accordance with Customer's documented instructions.

Come descritto dettagliatamente nelle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali standard, Microsoft usa i dati personali anche per supportare un set limitato di operazioni commerciali legittime, costituite da: (1) gestione della fatturazione e dell'account; (2) retribuzioni (ad esempio, calcolo di commissioni per i dipendenti e incentivi per i partner); (3) creazione di report e modellazione interni (ad esempio previsione, ricavi, pianificazione della capacità, strategia di prodotto); (4) combattere frodi, crimini informatici o attacchi informatici che possono influire sui prodotti Microsoft o su Microsoft; (5) migliorare le funzionalità principali di accessibilità, privacy o efficienza energetica; e (6) creazione di relazioni finanziarie e conformità con gli obblighi legali (fatte salve le limitazioni sulla divulgazione dei dati dei clienti descritte nelle Condizioni dei servizi online).As detailed in the standard Online Services Terms and Data Protection Addendum, Microsoft also uses Personal Data to support a limited set of legitimate business operations consisting of: (1) billing and account management; (2) compensation (for example, calculating employee commissions and partner incentives); (3) internal reporting and modeling (for example, forecasting, revenue, capacity planning, product strategy); (4) combatting fraud, cybercrime, or cyber-attacks that may affect Microsoft or Microsoft Products; (5) improving the core functionality of accessibility, privacy, or energy efficiency; and (6) financial reporting and compliance with legal obligations (subject to the limitations on disclosure of Customer Data outlined in the Online Service Terms).

Microsoft è il titolare del trattamento dei dati personali a supporto di queste specifiche operazioni commerciali legittime.Microsoft is controller of the processing of personal data to support these specific legitimate business operations. In generale, Microsoft aggrega i dati personali prima di usarli per le operazioni commerciali legittime, eliminando la possibilità di identificare specifici utenti e usando i dati personali nel formato meno identificabile possibile a supporto dell'elaborazione necessaria per le operazioni commerciali legittime.Generally, Microsoft aggregates Personal Data before using it for our legitimate business operations, removing Microsoft's ability to identify specific individuals, and uses personal data in the least identifiable form that will support processing necessary for legitimate business operations.

Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili.Microsoft will not use Customer Data or information derived from it for profiling or for advertising or similar commercial purposes.
Categorie di dati personali trattatiCategories of personal data processed Dati dei clienti: si tratta di tutti i dati, inclusi testi, audio, video o file di immagini e software, che i clienti forniscono a Microsoft o che vengono forniti per conto dei clienti attraverso l'uso dei servizi online Microsoft.Customer Data: This is all data, including text, sound, video, or image files and software, that customers provide to Microsoft or that is provided on customers' behalf through their use of Microsoft online services. Includono i dati caricati dai clienti per l’archiviazione o l'elaborazione, oltre alle personalizzazioni.It includes data that customers upload for storage or processing, as well as customizations. Esempi di dati dei clienti elaborati in Office 365 includono il contenuto della posta elettronica in Exchange Online e i documenti o i file archiviati in SharePoint Online o in OneDrive for Business.Examples of Customer Data processed in Office 365 include email content in Exchange Online, and documents or files stored in SharePoint Online or OneDrive for Business.

Dati generati dal servizio: si tratta di dati generati o derivati da Microsoft tramite il funzionamento del servizio, come i dati sull'utilizzo o le prestazioni.Service-generated Data: This is data that is generated or derived by Microsoft through operation of the service, such as use or performance data. La maggior parte di questi dati contiene identificatori pseudonimi generati da Microsoft.Most of these data contain pseudonymous identifiers generated by Microsoft.

Dati di diagnostica: questi dati vengono raccolti o ottenuti da Microsoft da software che è installato localmente dal cliente in relazione al servizio online e possono essere anche indicati come dati di telemetria.Diagnostic Data: This data is collected or obtained by Microsoft from software that is locally installed by Customer in connection with the Online Service and may also be referred to as telemetry. Questi dati vengono in genere identificati da attributi del software installato localmente o del computer che esegue il software.This data is commonly identified by attributes of the locally installed software or the machine that runs that software.

Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a richiedere a un servizio online) attraverso un'interazione con Microsoft per ottenere supporto tecnico per i servizi online.Support Data: This is data provided to Microsoft by or on behalf of Customer (or that Customer authorizes Microsoft to obtain from an Online Service) through an engagement with Microsoft to obtain technical support for Online Services.

I dati dei clienti, i dati del log generato dal sistema e i dati di supporto non includono i dati dell'amministratore e di dati di fatturazione, come le informazioni di contatto dell'amministratore del cliente, le informazioni di sottoscrizione e i dati di pagamento, che Microsoft raccoglie ed elabora in qualità di titolare del trattamento dei dati e che non rientrano nell’ambito del presente documento.Customer Data, System-generated Log Data, and Support Data do not include administrator and billing data, such as customer administrator contact information, subscription information, and payment data, which Microsoft collects and processes in its capacity as a data controller and which is outside the scope of this document.
Conservazione dei datiData retention Dati dei clienti: come stabilito nelle Condizioni per la protezione dei dati contenute nelle Condizioni dei servizi online, Microsoft avrà a disposizione i dati del cliente per la durata del diritto del cliente a usare il servizio e fino a che tutti i dati del cliente saranno eliminati o restituiti secondo le istruzioni del cliente o le Condizioni per l'Utilizzo dei Servizi Online.Customer Data: As set out in the Data Protection Terms in the Online Services Terms, Microsoft will retain Customer Data for the duration of the customer's right to use the service and until all Customer Data is deleted or returned in accordance with the customer's instructions or the terms of the Online Services Terms.

In ogni momento durante il periodo di abbonamento, il cliente avrà la possibilità di accedere, estrarre ed eliminare i dati del cliente archiviati nel servizio, soggetti in alcuni casi a specifiche funzionalità del prodotto allo scopo di ridurre il rischio di eliminazione accidentale (ad esempio, la cartella di elementi recuperati di Exchange), come descritto ulteriormente nella documentazione del prodotto.At all times during the term of the customer's subscription, the customer will have the ability to access, extract, and delete Customer Data stored in the service, subject in some cases to specific product functionality intended to mitigate the risk of inadvertent deletion (for example, Exchange recovered items folder), as further described in product documentation.

Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati.Except for free trials and LinkedIn services, Microsoft will retain Customer Data stored in the Online Service in a limited function account for 90 days after expiration or termination of the customer's subscription so that the customer may extract the data. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati.After the 90-day retention period ends, Microsoft will disable the customer's account and delete the Customer Data.

Dati generati dal servizio: questi dati vengono conservati per un periodo predefinito che va fino a 180 giorni dalla raccolta, soggetto a periodi di conservazione maggiori ove necessario per la sicurezza dei servizi o per rispettare obblighi legali o normativi.Service-generated Data: This data is retained for a default period of up to 180 days from collection, subject to longer retention periods where required for security of the services or to meet legal or regulatory obligations.

Per ulteriori informazioni sulle funzionalità di servizi che consentono al cliente di eliminare i dati personali conservati nel servizio in qualsiasi momento, vedere la Guida per le richieste degli interessati del trattamento dei dati in Office 365.For further information about service capability that enables the customer to delete personal data maintained in the service at any time, see the Office 365 Data Subject Requests Guide.
Ubicazione e trasferimento dei dati personaliLocation and transfers of personal data Secondo quanto descritto nell'Allegato 1 delle Condizioni per l'Utilizzo dei Servizi Online, se il cliente effettua il provisioning della sua istanza di Office 365 in Australia, Canada, Unione Europea, Francia, India, Giappone, Corea del Sud, Regno Unito o negli Stati Uniti, Microsoft archivierà i seguenti dati inattivi del cliente solo all'interno di tale posizione: (1) il contenuto delle cassette postali di Exchange Online (corpo del messaggio, voci di calendario e il contenuto di allegati di posta elettronica), (2) il contenuto del sito di SharePoint Online e i file archiviati in quel sito, (3) i file caricati in OneDrive for Business e (4) il contenuto di progetti caricati in Project Online.As described in Attachment 1 of the Online Services Terms, if Customer provisions its instance of Office 365 in Australia, Canada, the European Union, France, India, Japan, South Korea, the United Kingdom, or the United States, Microsoft will store the following Customer Data at rest only within that location: (1) Exchange Online mailbox content (e-mail body, calendar entries, and the content of e-mail attachments), (2) SharePoint Online site content and the files stored within that site, (3) files uploaded to OneDrive for Business, and (4) project content uploaded to Project Online.

Per altri tipi di dati personali dello Spazio economico europeo e della Svizzera, Microsoft garantirà che i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale saranno soggetti a garanzie appropriate, secondo quanto descritto nell'articolo 46 del GDPR. Oltre agli impegni di Microsoft ai sensi delle clausole contrattuali standard per i responsabili e altri contratti modello, Microsoft è certificata per gli scudi per la privacy EU-U.S. e Svizzera-U.S. con gli obblighi che ne derivano.For other types of personal data from the European Economic Area and Switzerland, Microsoft will ensure that transfers of personal data to a third country or an international organization are subject to appropriate safeguards as described in Article 46 of the GDPR. In addition to Microsoft commitments under the Standard Contractual Clauses for processors and other model contracts, Microsoft is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail.
Condivisione dei dati con terze parti responsabili del trattamentoData sharing with third-party subprocessors Microsoft condivide i dati con terze parti che agiscono come altri responsabili del trattamento dei dati per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni.Microsoft shares data with third parties acting as our subprocessors to support functions such as customer and technical support, service maintenance, and other operations. Tutti i subappaltatori ai quali Microsoft trasferisce i dati dei clienti, i dati per il Supporto o i dati personali avranno stipulato accordi scritti con Microsoft che non sono meno protettivi dei termini di protezioni dati delle Condizioni per l'Utilizzo dei Servizi Online.Any subcontractors to which Microsoft transfers Customer Data, Support Data, or Personal Data will have entered into written agreements with Microsoft that are no less protective than the Data Protection Terms of the Online Services Terms. Tutti i terzisti sub-responsabili del trattamento del trattamento con cui sono condivisi i dati del cliente dei Servizi Online Core di Microsoft sono inclusi nell'elenco dei subappaltatori dei servizi online.All third-party subprocessors with which Customer Data from Microsoft's Core Online Services is shared are included in the Online Services Subcontractor list. Tutti i terzisti sub-responsabili del trattamento che potrebbero avere accesso ai dati del supporto (compresi i dati del cliente che i clienti scelgono di condividere durante le loro interazioni con il supporto) sono inclusi nell'elenco dei fornitori di supporto commerciale di Microsoft.All third-party subprocessors that may access Support Data (including Customer Data that customers choose to share during their support interactions) are included in the Microsoft Commercial Support Contractors list.
Condivisione dei dati con terze parti indipendentiData sharing with independent third-parties Alcuni prodotti di Office 365 includono opzioni di estendibilità che consentono, a scelta del titolare del trattamento, di condividere dati con terze parti indipendenti.Some Office 365 products include extensibility options that enable, at the controller's election, sharing of data with independent third parties. Ad esempio, Exchange Online è una piattaforma estendibile che consente l'integrazione di componenti aggiuntivi o connettori di terze parti con Outlook per estenderne il set di funzionalità.For example, Exchange Online is an extensible platform that allows third-party add-ins or connectors to integrate with Outlook and extend Outlook's feature sets. Questi provider terzi di componenti aggiuntivi o connettori agiscono indipendentemente da Microsoft e i loro componenti aggiuntivi o connettori devono essere attivati dagli utenti o amministratori dell'organizzazione, che eseguono l'autenticazione con il proprio account del componente aggiuntivo o connettore.These third-party providers of add-ins or connectors act independently of Microsoft, and their add-ins or connectors must be enabled by the users or enterprise administrators, who authenticate with their add-in or connector account.

Microsoft non divulgherà i dati del cliente o i dati del supporto alle forze dell'ordine, a meno che non sia richiesto dalla legge. Se le forze dell'ordine contattano Microsoft richiedendo i dati del cliente o i dati del supporto, Microsoft tenterà di reindirizzare le forze dell'ordine a richiedere tali dati direttamente al cliente. Se obbligato a rivelare i dati del cliente o i dati del supporto alle forze dell'ordine, Microsoft informerà tempestivamente il cliente e fornirà una copia della richiesta, salvo divieto.Microsoft will not disclose Customer Data or Support Data to law enforcement unless required by law. If law enforcement contacts Microsoft with a demand for Customer Data or Support Data, Microsoft will attempt to redirect the law enforcement agency to request that data directly from Customer. If compelled to disclose Customer Data or Support Data to law enforcement, Microsoft will promptly notify Customer and provide a copy of the demand unless legally prohibited from doing so.

Al ricevimento di qualsiasi altra richiesta da parte di terzi di dati dei clienti o dei dati di supporto, Microsoft informerà tempestivamente il cliente a meno che non sia proibito dalla legge. Microsoft rifiuterà la richiesta a meno che non sia legalmente tenuto a farlo. Se la richiesta è valida, Microsoft tenterà di reindirizzare la terza parte a richiedere i dati direttamente al cliente.Upon receipt of any other third-party request for Customer Data or Support Data, Microsoft will promptly notify Customer unless prohibited by law. Microsoft will reject the request unless required by law to comply. If the request is valid, Microsoft will attempt to redirect the third party to request the data directly from the customer.
Diritti del soggetto interessatoData subject rights Quando opera come responsabile del trattamento, Microsoft mette a disposizione dei clienti (titolari del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR.When operating as a processor, Microsoft makes available to customers (data controllers) the personal data of its data subjects and the ability to fulfill data subject requests when they exercise their rights under the GDPR. Lo facciamo in modo coerente con la funzionalità del prodotto e con il nostro ruolo di responsabile del trattamento.We do so in a manner consistent with the functionality of the product and our role as a processor.Se riceviamo una richiesta da parte dell'interessato di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati. If we receive a request from the customer's data subjects to exercise one or more of its rights under the GDPR, we redirect the data subject to make its request directly to the data controller. La Guida per le richieste degli interessati del trattamento dei dati in Office 365 fornisce una descrizione per il titolare del trattamento dei dati su come promuovere i diritti degli interessati del trattamento dei dati utilizzando le funzionalità di Office 365.The Office 365 Data Subject Requests Guide provides a description to the data controller on how to support data subject rights using the capabilities in Office 365.

Le richieste dell'interessato per l'esercizio di diritti nell'ambito del GDPR per i dati personali elaborati a supporto di processi aziendali legittimi devono essere dirette a Microsoft, come indicato nell'Informativa sulla privacy di Microsoft.Requests from a data subject to exercise rights under the GDPR for personal data processed to support the legitimate business processes should be directed to Microsoft, as clarified in the Microsoft Privacy Statement.

Microsoft generalmente aggrega i dati personali prima di usarli per le proprie operazioni commerciali legittime e non è in grado di identificare i dati personali per un individuo specifico nell'aggregazione.Microsoft generally aggregates personal before using it for our legitimate business operations and is not in a position to identify personal data for a specific individual in the aggregate. Ciò riduce significativamente i rischi per la privacy di ogni singolo utente.This significantly reduces the privacy risk to the individual. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento.Where Microsoft is not in a position to identify the individual, it cannot support data subject rights for access, erasure, portability, or the restriction or objection of processing.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopiAn assessment of the necessity and proportionality of the processing operations in relation to the purposes Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità del trattamento.Such an assessment will depend on the controller's needs and purposes of processing.

Per quanto riguarda il trattamento eseguito da Microsoft, tale trattamento è necessario e proporzionale allo scopo di fornire i servizi al titolare del trattamento.With regard to the processing carried out by Microsoft, such processing is necessary and proportional for the purpose of providing the services to the data controller.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei datiAn assessment of the risks to the rights and freedoms of data subjects I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Office 365 dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza.The key risks to the rights and freedoms of data subjects from the use of Office 365 will be a function of how and in what context the data controller implements, configures, and uses it.

Microsoft adotta misure quali l'anonimizzazione o l'aggregazione dei dati personali che utilizza a supporto di operazioni commerciali legittime per supportare l'erogazione dei servizi, minimizzando il rischio del trattamento per i soggetti interessati che si avvalgono del servizio.Microsoft takes measures such as the anonymization or aggregation of personal data used by Microsoft to support legitimate business operations to support provision of the services, minimizing the risk of such processing to data subjects that use the service.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria.However, as with any service, personal data held in the service may be at risk of unauthorized access or inadvertent disclosure. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nelle sezioni seguenti.Measures Microsoft takes to address such risks are discussed in the following sections.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre personeThe measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR taking into account the rights and legitimate interests of data subjects and other persons concerned Microsoft si impegna a proteggere la sicurezza delle informazioni del cliente.Microsoft is committed to helping protect the security of Customer's information. In conformità alle disposizioni dell'articolo 32 del GDPR, Microsoft ha implementato, manterrà e seguirà le misure tecniche e organizzative appropriate volte a proteggere i dati dei clienti e i dati di supporto da accessi accidentali, non autorizzati o illegali, divulgazione, alterazione, perdita o distruzione.In compliance with the provisions of Article 32 of the GDPR, Microsoft has implemented and will maintain and follow appropriate technical and organizational measures intended to protect Customer Data and Support Data against accidental, unauthorized, or unlawful access, disclosure, alteration, loss, or destruction.

Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record.Further, Microsoft complies with all other GDPR obligations that apply to data processors, including but not limited to, data protection impact assessments and record keeping.

Quando Microsoft elabora i dati personali per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati.Where Microsoft processes personal data for its legitimate business operations, it complies with GDPR obligations that apply to data controllers.

Parte 3: la DPIA sono fastidiosi, ma possono essere utiliPart 3: DPIAs are hard, but this may help

Se l'organizzazione ha bisogno di una bozza di DPIA, le informazioni in questa sezione sono pensate per semplificare il processo.If you have determined that your organization needs to draft a DPIA, the information in this section is designed to help make that process easier for you.

Contenuto della sezione:This section:

  • sono disponibili gli elementi del servizio rilevanti di Office 365 e informazioni specifiche del prodotto eprovides Office 365 and product-specific information relevant service elements, and
  • è disponibile un modello di modello DPIA vuoto che può essere scaricato, modificato e usato per la stesura di un DPIA personalizzato.provides you with a blank model DPIA template that you can download, modify, and use to draft your own DPIAs.

Matrice di elementi del servizio DPIADPIA service elements matrix

La matrice di elementi del servizio DPIA è un'organizzazione di contenuto che può essere utile quando si avvia il processo di documentazione del DPIA.The DPIA Service Elements Matrix is an organization of content that you might find helpful as you start the process of documenting your DPIA. È organizzata in base al servizio e fornisce informazioni specifiche relative al prodotto e collegamenti a documenti che possono essere utili per creare più facilmente risposte reattive agli elementi di DPIA necessari.It's organized by service and provides product-specific information and links to documentation that may help you draft responsive answers to the required DPIA elements more easily.

Documento di DPIA personalizzabileCustomizable DPIA document

Ci rendiamo conto che la stesura di DPIA può essere un'impresa che richiede molto tempo.We realize that drafting DPIAs can be a time-consuming effort. Anche se i DPIA di ogni cliente variano in base al modo in cui ogni organizzazione configura e usa Office 365, il documento seguente aiuta a risparmiare tempo.Although each customer's DPIA will differ based on how each organization configures and uses Office 365, the following document may save you time. È possibile scaricare il documento di DPIA personalizzabile come modello esplicativo modificabile e iniziare subito a usarlo.You can download the Customizable DPIA document as a modifiable illustrative template to get quickly get started. È possibile usarlo e adattarlo alla specifica implementazione del servizio.It is free for you to use and adapt to your specific implementation of the service. Il documento non deve essere inteso come consiglio legale fornito da Microsoft o da una qualsiasi delle relative consociate.This document should not be construed as legal advice provided by Microsoft or any of its affiliates. Per qualsiasi domanda relativa al processo di stesura di DPIA, è necessario consultare il proprio legale.If you have any questions regarding the DPIA drafting process, we urge you to consult with your attorney.

Ulteriori informazioniLearn more