Riepilogo del Regolamento generale sulla protezione dei datiGeneral Data Protection Regulation Summary

Il Regolamento generale sulla protezione dei dati (GDPR) introduce nuove regole per le organizzazioni che offrono beni e servizi alle persone che risiedono nell'Unione europea (UE) o che raccolgono e analizzano i dati dei residenti nell'UE in qualunque luogo si trovi l'utente o la sua azienda.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Questo documento illustra le informazioni che consentono di rispettare i diritti e adempiere agli obblighi in conformità al GDPR quando si usano i prodotti e i servizi Microsoft.This document guides you to information to help you honor rights and fulfill obligations under the GDPR when using Microsoft products and services. Un piano d'azione consigliato per il GDPR e gli elenchi di controllo di preparazione della conformità forniscono ulteriori risorse per la valutazione e l'implementazione della conformità al GDPR.A Recommended action plan for GDPR and Accountability Readiness Checklists provide additional resources for assessing and implementing GDPR compliance.

TerminologiaTerminology

Definizioni utili per i termini relativi al GDPR usati nel documento:Helpful definitions for GDPR terms used in this document:

  • Titolare del trattamento dei dati (titolare): una persona giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o congiuntamente con altri, determina le finalità e le modalità di trattamento dei dati personali.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Dati personali e interessato: qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Responsabile: una persona fisica o giuridica, un'autorità pubblica o un altro ente che si occupa del trattamento dei dati personali per conto del titolare.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Dati dei clienti: dati prodotti e archiviati relativi alle attività quotidiane di gestione della propria attività.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Che cos'è il GDPR?What is the GDPR?

Il GDPR concede alle persone il diritto di gestire i dati personali raccolti da un'organizzazione.The GDPR gives rights to people to manage personal data collected by an organization. Tali diritti possono essere esercitati tramite una richiesta dell'interessato (DSR).These rights can be exercised through a Data Subject Request (DSR). L'organizzazione è tenuta a fornire informazioni tempestive relative alle richieste dell'interessato e alle violazioni dei dati e a eseguire valutazioni d'impatto sulla protezione dei dati (DPIA).The organization is required to provide timely information regarding DSRs and data breaches, and perform Data Protection Impact Assessments (DPIAs).

Nell'implementazione o nella valutazione dei requisiti del GDPR, è opportuno tenere in considerazione diversi punti:Several points should be considered when implementing or assessing GDPR requirements:

  • Sviluppo e valutazione dell'informativa sulla privacy relativa ai dati in conformità al GDPR.Developing or evaluating your GDPR-compliance data privacy policy.
  • Valutazione della sicurezza dei dati dell'organizzazione.Assessing the data security of your organization.
  • Chi è il titolare del trattamento dei dati?Who is your data controller?
  • Quali processi per la sicurezza dei dati potrebbe essere necessario eseguire?What data security processes may you have to perform?

Il piano d'azione consigliato per il GDPR e gli elenchi di controllo di preparazione della conformità potrebbero richiedere la considerazione di ulteriori fattori.The Recommended action plan for GDPR and Accountability Readiness Checklists may prompt additional thinking points.

Le attività seguenti sono previste per soddisfare gli standard del GDPR.The following tasks are involved to meet GDPR standards. Per i dettagli relativi all'implementazione, seguire i collegamenti nell'elenco.Follow the links in the list for details regarding your implementation.

  • Richieste dell'interessato (DSR).Data subject requests (DSR). Una richiesta formale da un interessato a un titolare di agire (modificare, limitare, accedere) sui dati personali.A formal request by a data subject to a controller to take an action (change, restrict, access) regarding their personal data.
  • Notifica di violazione.Breach notification. Secondo il GDPR, una violazione dei dati personali è "una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".Under GDPR, a personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'
  • Valutazione dell'impatto sulla protezione dei dati (DPIA).Data protection impact assessment (DPIA). Il GDPR richiede che i titolari del trattamento sui dati preparino una valutazione dell'impatto sulla protezione dei dati per le operazioni relative ai dati che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche".Data controllers are required under GDPR to prepare a DPIA for data operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.'

Come già accennato, il piano d'azione consigliato per il GDPR e gli elenchi di controllo di preparazione della conformità forniscono una guida all'implementazione o alla valutazione della conformità al GDPR quando si usano i prodotti e i servizi Microsoft.As mentioned above, the Recommended action plan for GDPR and Accountability Readiness Checklists provide a guide to implementing or assessing GDPR conformance using Microsoft products and services.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e adottare misure per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre una valutazione predefinita per questa normativa ai clienti Enterprise E5.Compliance Manager has a pre-built assessment for this regulation for Enterprise E5 customers. Il modello per realizzare la valutazione è disponibile nella pagina dei modelli di valutazioni di Compliance Manager.Find the template for building the assessment in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

Richiesta dell'interessato (DSR)Data Subject Request (DSR)

Il GDPR concede agli utenti (o interessati) determinati diritti per il trattamento dei loro dati personali, tra cui il diritto di correggere i dati non esatti, di cancellare i dati o limitarne il trattamento, di ricevere i dati e soddisfare una richiesta di trasmissione dei dati a un altro titolare del trattamento.The GDPR grants individuals (or data subjects) certain rights in connection with the processing of their personal data, including the right to correct inaccurate data, erase data or restrict its processing, receive their data and fulfill a request to transmit their data to another controller. Il titolare ha la responsabilità di rispondere tempestivamente in conformità al GDPR.The controller is responsible for providing a timely, GDPR consistent reply. Per i dettagli tecnici, fare riferimento a Richieste degli interessati.For technical details, refer to Data Subject Requests.

Domande frequenti sulle richieste degli interessatiDSR FAQs

Quali azioni saranno necessarie per completare una richiesta dell'interessato?What actions will be required to complete a DSR?

Le richieste degli interessati implicano sei attività, ovvero individuazione, accesso, rettifica, limitazione, esportazione ed eliminazione.DSRs involve six activities: Discovery, Access, Rectification, Restriction, Export, and Deletion.

Quali sono le origini dati?What are your data sources?

Una considerevole quantità dei dati dell'organizzazione viene generata da applicazioni di Office come Excel e Outlook.A large fraction of an organization's data is generated in Office applications such as Excel and Outlook. È inoltre possibile trovare i dati rilevanti per una richiesta dell'interessato nelle informazioni approfondite generate dai prodotti e servizi Microsoft e nei log generati dal sistema.You may also find data relevant to a DSR in Insights generated by Microsoft products and services, and system-generated logs.

Quali tipi di dati è necessario cercare?What kinds of data need to be searched?

I dati personali possono essere presenti nei dati dei clienti, nelle informazioni approfondite generate dai prodotti e dai servizi Microsoft e nei log generati dal sistema.Personal data may be found in customer data, insights generated by Microsoft products and services, and system-generated logs.

In che modo è possibile cercare i dati personali?How will personal data be searched?

La ricerca dei dati personali potrebbe variare in base ai prodotti e ai servizi Microsoft.Searching for personal data may vary across Microsoft products and services. Gli strumenti di ricerca includono Ricerca contenuto o la funzionalità di ricerca in-app.Search tools include Content Search, or in-app search capacity. Gli amministratori possono accedere ai log generati dal sistema associati all'attività di un utente.Administrators may access system-generated logs associated with a user's activity.

In che formato dovrebbero essere resi disponibili i dati personali?In what formats should personal data be made available?

Il "diritto alla portabilità dei dati" del GDPR consente all'interessato di richiedere una copia dei dati personali in un "formato strutturato, di uso comune e leggibile da dispositivo automatico" e di richiedere che l'organizzazione trasmetta questi file a un altro titolare del trattamento dei dati.The GDPR 'right of data portability' allows a data subject to request a copy of personal data in a 'structured, commonly used, machine-readable format', and to request that your organization transmit these files to another data controller.

Cosa richiede il GDPR e quali sono le responsabilità del titolare del trattamento?What does the GDPR require and what are my responsibilities as the controller?

In base al GDPR, il titolare del trattamento è tenuto a fare quanto segue:As controller, the GDPR requires you to be able to:

  • Fornire agli interessati una copia dei loro dati personali, insieme a una spiegazione delle categorie di dati oggetto di trattamento, delle finalità di tale trattamento e delle categorie di terze parti a cui i dati possono essere comunicati.Give data subjects a copy of their personal data, together with an explanation of the categories of their data that are being processed, the purposes of that processing, and the categories of third parties to whom their data may be disclosed.
  • Consentire a ogni persona di esercitare il proprio diritto di correggere i dati personali non corretti, di cancellare i dati o di limitarne il trattamento, di ricevere i propri dati in un formato leggibile e, se applicabile, di accogliere una richiesta di trasmissione di tali dati a un altro titolare del trattamento.Help every individual exercise their right to correct inaccurate personal data, erase data or restrict its processing, receive their data in a readable form, and where applicable, fulfill a request to transmit their data to another controller.

Cosa richiede il GDPR e quali sono le responsabilità di Microsoft in quanto responsabile del trattamento dei dati?What does the GDPR require and what are the responsibilities of Microsoft as processor?

Dobbiamo implementare misure tecniche e organizzative appropriate per consentire di rispondere alle richieste degli interessati che esercitano i loro diritti indicati in precedenza.We must implement the appropriate technical and organizational measures to assist you in responding to requests from data subjects exercising their rights as discussed above.

Dove è possibile trovare informazioni relative al GDPR per server locali?Where can I find GDPR-related information for on-premises servers?

Qui è disponibile una serie di articoli correlati al GDPR.You can find a series of GDPR-related articles here. Sono prodotti da Microsoft e illustrano gli approcci consigliati per il carico di lavoro locale per SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server e condivisioni file locali.Produced by Microsoft, they provide recommended approaches for on-premises workload for SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server, and on-premises file shares.

In che modo Microsoft consente di rispondere alle richieste degli interessati?How does Microsoft enable you to respond to data subject requests?

Online Services offre una serie di funzionalità che consentono al titolare del trattamento di rispondere a una richiesta dell'interessato.Online Services offers a host of capabilities to enable you, as a controller, to respond to a data subject's request. I servizi online aziendali Microsoft e i controlli amministrativi consentono di intervenire sui dati personali in risposta alle richieste di esercizio dei diritti degli interessati, consentendo di individuare, accedere, rettificare, limitare, eliminare ed esportare i dati personali inclusi nei dati gestiti dal titolare del trattamento archiviati nel cloud Microsoft.Microsoft enterprise online services and administrative controls help you act on personal data responsive to data subject rights requests, allowing you to discover, access, rectify, restrict, delete, and export personal data that resides in the controller-managed data stored in Microsoft's cloud. Inoltre, in caso di necessità, Online Services fornisce i dati in un formato leggibile da dispositivo automatico.Online Services also provides data in machine-readable form should you need it.

Valutazione d'impatto sulla protezione dei datiData Protection Impact Assessment

Il GDPR richiede che i titolari del trattamento preparino una valutazione d'impatto sulla protezione dei dati (DPIA) per le operazioni di trattamento che "potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche".Under GDPR, data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Non c'è nulla di insito ai prodotti e servizi Microsoft che richieda la creazione di una DPIA.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Al contrario, dipende dai dettagli della configurazione di Microsoft.Rather, it depends on the details of your Microsoft configuration. Per un elenco di dettagli da tenere in considerazione per Office, vedere Contenuto di una DPIA.A list of details that must be considered in Office can be found in Contents of DPIA

Domande frequenti sulla valutazione d'impatto sulla protezione dei datiDPIA FAQs

Quando dovrebbe essere eseguita una DPIA?When should you conduct a DPIA?

I titolari devono eseguire una DPIA per rispondere ai rischi relativi alla sicurezza dei dati personali o in seguito a una violazione dei dati.Controllers are required to perform a DPIA addressing risks to personal data security or as a result of a data breach. Esempi specifici di fattori di rischio di Office sono trattati in Determinare se è necessaria una DPIA.Specific examples of risk factors in Office are addressed in Determining Whether a DPIA is Needed.

Cosa è necessario per completare una DPIA?What is required to complete a DPIA?

Secondo il GDPR, una DPIA deve includere quanto segue:The GDPR mandates that a DPIA includes:

  • Una valutazione della necessità e proporzionalità delle operazioni di trattamento dei dati in relazione agli scopi della DPIA.Assessment of the necessity, and proportionality of data processing in relation to the DPIA's purpose.
  • Una valutazione dei rischi per i diritti e le libertà dell'interessato.An assessment of the risks to the rights and freedoms of data subjects.
  • Misure previste per risolvere i rischi, garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR.Intended measures to address the risks, safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.

Quali sono le responsabilità del titolare del trattamento?What are my responsibilities as a Controller?

In base al GDPR, il titolare del trattamento deve svolgere una valutazione d'impatto sulla protezione dei dati prima di eseguire trattamenti dei dati che possono presentare un rischio elevato per i diritti e le libertà delle persone (in particolare quelli che comportano l'utilizzo di nuove tecnologie).Under the GDPR, as a controller you are required to undertake DPIAs prior to data processing that is likely to result in a high risk to the rights and freedoms of individuals—in particular, processing using new technologies. Il GDPR fornisce il seguente elenco (non esaustivo) di casi in cui è necessario eseguire le DPIA:The GDPR provides the following non-exhaustive list of cases in which DPIAs must be carried out:

  • Trattamento automatizzato per finalità di profilatura e attività simili che producono effetti giuridici o che incidono in modo analogamente significativo nei confronti degli interessati;Automated processing for the purposes of profiling and similar activities that has legal effects or similarly significantly affects data subjects;
  • Trattamento su larga scala di categorie particolari di dati personali (dati che rivelano origini etniche o razziali, opinioni politiche e simili) o di dati relativi a condanne penali o reati;Processing on a large scale of special categories of personal data-data revealing racial or ethnic origin, political opinion, and the like—or of data relating to criminal convictions and offenses;
  • Sorveglianza sistematica su larga scala di una zona accessibile al pubblico.Systematic monitoring of a publicly accessible area on a large scale.

Il GDPR richiede inoltre di consultare l'autorità incaricata della protezione dei dati personali prima di iniziare qualsiasi trattamento se non è possibile identificare processi sufficienti per ridurre al minimo i rischi elevati per gli interessati.The GDPR also requires that you must consult with your Data Protection Authority (DPA) before you begin any processing if you cannot identify sufficient processes to minimize high risks to data subjects.

Quali sono le responsabilità di Microsoft?What are the responsibilities of Microsoft?

Microsoft aderisce ai principi di "privacy by design" (privacy fin dalla progettazione) e "privacy by default" (privacy per impostazione predefinita) nelle sue attività di business e progettazione.Microsoft practices privacy by design and privacy by default in its engineering and business functions. Nell'ambito di queste operazioni, Microsoft esegue controlli completi della privacy sulle operazioni di trattamento dei dati che potrebbero avere un impatto significativo sui diritti e sulle libertà degli interessati.As part of these efforts, Microsoft performs comprehensive privacy reviews on data processing operations that have the potential to cause impacts to the rights and freedoms of data subjects. I team che si occupano della privacy nei gruppi del servizio esaminano la progettazione e l'implementazione dei servizi per verificare che il trattamento dei dati personali avvenga nel rispetto delle leggi internazionali, delle aspettative degli utenti e dell'impegno espresso da Microsoft.Privacy teams embedded in the service groups review the design and implementation of services to ensure that personal data is processed in a respectful manner that accords with international law, user expectations, and our express commitments.

Tali controlli della privacy tendono ad essere granulari: un determinato servizio può essere sottoposto a decine o centinaia di controlli.These privacy reviews tend to be granular — a particular service may receive dozens or hundreds of reviews. Questi controlli granulari della privacy confluiscono nelle valutazioni d'impatto sulla protezione dei dati che riguardano le principali categorie di trattamento, che in seguito verranno sottoposte al controllo del Responsabile della protezione dei dati dell'Unione europea di Microsoft.Microsoft rolls up these granular privacy reviews into Data Protection Impact Assessments (DPIAs) that cover major groupings of processing, which the Microsoft EU Data Protection Officer (DPO) then reviews. Il Responsabile della protezione dei dati valuta i rischi relativi al trattamento dei dati per verificare che siano disponibili soluzioni sufficienti.The DPO assesses the risks related to the data processing to ensure that sufficient mitigations are in place. Se individua dei rischi privi di soluzione, suggerisce le modifiche da apportare al gruppo di progettazione.If the DPO finds unmitigated risks, changes are recommended back to the engineering group. Le valutazioni d'impatto sulla protezione dei dati verranno riviste e aggiornate man mano che cambiano i rischi per la protezione dei dati.DPIAs will be reviewed and updated as data protection risks change.

In qualità di responsabile del trattamento dei dati, Microsoft ha il dovere di assistere i titolari del trattamento nel garantire il rispetto dei requisiti relativi alle valutazioni d'impatto sulla protezione dei dati indicati nel GDPR.Microsoft, as a processor, has a duty to assist controllers in ensuring compliance with the DPIA requirements laid out in the GDPR. A questo scopo, le sezioni pertinenti delle valutazioni d'impatto sulla protezione dei dati svolte da Microsoft verranno fornite in questa sezione negli aggiornamenti futuri, per consentire ai titolari del trattamento che usano i servizi Microsoft di sfruttare queste informazioni per creare le proprie valutazioni d'impatto.To support our customers, relevant sections of Microsoft's DPIAs are abstracted and will be provided through this section in future updates with the intent of allowing controllers relying on Microsoft services to leverage the abstracts in order to create their own DPIAs.

Notifica di violazioneBreach Notification

Il GPDR impone ai titolari e ai responsabili del trattamento dei dati l'obbligo di notifica in caso di violazione dei dati personali.The GDPR mandates notification requirements for data controllers and processors for a breach of personal data. In qualità di responsabile del trattamento dei dati, Microsoft mette i clienti in condizione di soddisfare i requisiti di notifica delle violazioni previsti dal GDPR.As a data processor, Microsoft ensures that customers are able to meet the GDPR's breach notification requirements. I titolari del trattamento dei dati sono tenuti a valutare i rischi per la privacy di tali dati e a stabilire se una violazione richieda la notifica all'autorità per la protezione dei dati di un cliente.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. Microsoft fornisce le informazioni necessarie per eseguire tale valutazione.Microsoft provides the information needed to make that assessment. Per ulteriori informazioni su come Microsoft rileva e gestisce un caso di violazione dei dati personali, vedere Notifica di violazione dei dati secondo il GDPR.More information about how Microsoft detects and responds to a breach of personal data in Data Breach Notification Under the GDPR.

Domande frequenti sulla notifica di violazioneBreach notification FAQs

Cosa costituisce una violazione dei dati personali secondo il GDPR?What constitutes a breach of personal data under the GDPR?

Per dati personali si intendono tutte le informazioni relative a un individuo che possono essere utilizzate per identificare tale soggetto direttamente o indirettamente.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Una violazione dei dati personali è "una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'

Quali sono le responsabilità del titolare del trattamento?What are your responsibilities as the controller?

Se si verifica una violazione di dati personali che potenzialmente presenta un rischio elevato per i diritti e le libertà delle persone (come discriminazione, furto di identità, frodi, perdite finanziarie o danni alla reputazione), il GDPR richiede di:If a breach of personal data that is likely to result in a high risk to the rights and freedoms of individuals (such as discrimination, identity theft, fraud, financial loss, or damage to their reputation) occurs, the GDPR requires you to:

  • Informare l'autorità incaricata della protezione dei dati competente entro 72 ore dal momento in cui se ne viene a conoscenza, ad esempio dopo la ricezione della notifica da Microsoft.Notify the appropriate Data Protection Authority (DPA) within 72 hours of becoming aware of it—for example, after Microsoft notifies you. Se non si invia una notifica all'autorità per la protezione dei dati entro tale termine, sarà necessario fornirle una spiegazione.If you don't notify the DPA within that time period, you'll need to explain why to the DPA. Questa notifica all'autorità incaricata della protezione dei dati è necessaria anche in caso di rischi non elevati per gli individui.This notice to the DPA is required even where there is a risk to individuals that is not likely to result in a high risk.
  • Informare immediatamente i soggetti dei dati della violazione.Notify the data subjects of the breach without undue delay.
  • Documentare la violazione includendo una descrizione della natura della violazione, indicando ad esempio quante persone sono interessate, il numero dei record di dati interessati, le conseguenze della violazione ed eventuali azioni correttive programmate o attuate dall'organizzazione.Document the breach including a description of the nature of the breach—such as how many people were impacted, the number of data records affected, the consequences of the breach, and any remedial action your organization is proposing or took.

Quali sono le responsabilità di Microsoft in quanto responsabile del trattamento dei dati?What are the responsibilities of Microsoft as the processor?

Secondo il GDPR, dopo aver rilevato una violazione dei dati siamo obbligati a informare immediatamente gli interessati.After we become aware of a personal data breach, the GDPR requires us to notify you without undue delay. In qualità di responsabile del trattamento dei dati, Microsoft si attiene sia ai requisiti del GDPR, sia alle proprie disposizioni contrattuali standard a livello mondiale.Where Microsoft is a processor our obligations reflect both GDPR requirements and our standard, worldwide contractual provisions. Consideriamo tutte le violazioni dei dati personali confermate allo stesso modo, senza esclusioni in base al rischio di danni.We consider that all confirmed personal data breaches are in scope; there is no risk of harm threshold. Comunichiamo ai clienti se la violazione dei dati è stata subita direttamente da Microsoft o da titolari secondari del trattamento.We will notify our customers whether the data breach was suffered by Microsoft directly or by any of our sub-processors. Ci atteniamo a processi che ci consentono di identificare rapidamente il personale addetto degli incidenti di sicurezza di un'organizzazione e di contattarlo.We have processes in place to quickly identify and contact security incident personnel you've identified in your organization. Inoltre, tutti i titolari secondari del trattamento sono tenuti a segnalare le proprie violazioni a Microsoft e a fornire garanzie in tal senso.In addition, all sub-processors are contractually obliged to report their own breaches to Microsoft, and provide guarantees to that effect.

Come fa Microsoft a identificare una violazione dei dati?How will MIcrosoft detect a data breach?

Tutti i nostri servizi e il nostro personale seguono procedure interne di gestione degli incidenti per garantire che siano adottate precauzioni adatte per evitare violazioni dei dati.All our services and personnel follow internal incident management procedures to ensure that we take proper precautions to avoid data breaches in the first place. Inoltre, gli Online Services dispongono di controlli di sicurezza specifici nelle nostre piattaforme per rilevare le violazioni di dati nei rari casi in cui si verificano.However, in addition, Online Services have specific security controls in place across our platforms to detect data breaches in the rare event that they occur.

Come interviene Microsoft in caso di violazione dei dati?How will Microsoft respond to a data breach?

Per supportare il cliente nell'ambito di una violazione dei dati personali, Microsoft:To support you for a breach of personal data Microsoft has: - Dispone di personale di sicurezza qualificato per le procedure specifiche da seguire.Security personnel trained on the specific procedures to follow. - Ha predisposto politiche, procedure e controlli per garantire la tenuta di registri dettagliati.Has policies, procedures, and controls in place to ensure that Microsoft maintains detailed records. Questa risposta include la documentazione che riguarda le circostanze dell'evento, le sue conseguenze e i provvedimenti adottati per porvi rimedio, oltre a monitorare e memorizzare le informazioni nei sistemi di gestione degli incidenti.This response includes documentation that captures the facts of the incident, its effects, and remedial action, as well as tracking and storing information in our incident management systems.

In che modo Microsoft mi comunica un'eventuale violazione dei dati?How will Microsoft notify me in the event of a data breach?

Microsoft ha predisposto politiche e procedure specifiche per informare immediatamente gli interessati.Microsoft has policies and procedures in place to notify you promptly. Per soddisfare i requisiti di notifica all'autorità incaricata della protezione dei dati, forniamo una descrizione del processo usato per determinare se si è verificata una violazione dei dati personali, una descrizione della natura della violazione e una descrizione delle misure adottate per mitigare le conseguenze della violazione.To satisfy your notice requirements to the DPA, we will provide a description of the process we used to determine if a breach of personal data has occurred, a description of the nature of the breach and a description of the measures we took to mitigate the breach.

Elenchi di controllo di preparazione della conformità al GDPRAccountability Readiness Checklists for the GDPR

Questi elenchi di controllo offrono un modo pratico per accedere alle informazioni necessarie per l'applicazione del GDPR quando si usano i prodotti Microsoft.These checklists provide a convenient way to access information you may need to support the GDPR using Microsoft products. È possibile gestire gli elementi di questo elenco di controllo con Microsoft Compliance Manager usando il codice e il nome dei controlli nel riquadro del GDPR che comprende i controlli gestiti dai clienti.You can manage checklist items with Microsoft Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Domande frequenti sul GDPRGDPR FAQs

Microsoft assume degli impegni nei confronti dei propri clienti per quanto riguarda il GDPR?Does Microsoft make commitments to its customers with regard to the GDPR?

Sì.Yes. Il GDPR prevede che i titolari del trattamento (ad esempio le organizzazioni che usano i servizi online aziendali di Microsoft) si avvalgano solo di responsabili del trattamento (ad esempio Microsoft) che forniscono le garanzie necessarie per soddisfare i requisiti del GDPR.The GDPR requires controllers (such as organizations using Microsoft's enterprise online services) only use processors (such as Microsoft) that provide sufficient guarantees to meet key requirements of the GDPR. Microsoft ha inserito questi impegni negli accordi stipulati con tutti i clienti con contratti multilicenza.Microsoft has taken the proactive step of providing these commitments to all Volume Licensing customers as part of their agreements.

In che modo Microsoft mi aiuta ad adeguarmi?How does Microsoft help me comply?

Microsoft offre strumenti e documentazioni utili a rispettare il GDPR.Microsoft provides tools and documentation to support your GDPR accountability. Sono inclusi il supporto dei diritti dell'interessato, l'esecuzione delle valutazioni d'impatto sulla protezione dei dati e la collaborazione per risolvere eventuali violazioni dei dati personali.This includes support for Data Subject Rights, performing your own Data Protection Impact Assessments, and working together to resolve personal data breaches.

Quali impegni sono inclusi nelle Condizioni per il GDPR?What commitments are in the GDPR Terms?

Le Condizioni per il GDPR di Microsoft riflettono gli impegni che l'Articolo 28 attribuisce ai responsabili del trattamento.Microsoft's GDPR Terms reflect the commitments required of processors in Article 28. L'articolo 28 prevede che i responsabili del trattamento si impegnino a:Article 28 requires that processors commit to:

  • Avvalersi esclusivamente di responsabili secondari con il consenso del titolare ed esserne responsabili.Only use subprocessors with the consent of the controller and remain liable for subprocessors.
  • Trattare i dati personali esclusivamente in base alle istruzioni del titolare, anche in merito al trasferimento.Process personal data only on instructions from the controller, including with regard to transfers.
  • Assicurarsi che le persone che trattano i dati personali rispettino la riservatezza.Ensure that persons who process personal data are committed to confidentiality.
  • Implementare misure tecniche e organizzativa appropriate per garantire un livello di sicurezza dei dati personali idoneo in base al rischio.Implement appropriate technical and organizational measures to ensure a level of personal data security appropriate to the risk.
  • Aiutare i titolari del trattamento nell'ambito dei loro obblighi di risposta alle richieste degli interessati di esercitare i propri diritti in base al GDPR.Assist controllers in their obligations to respond to data subjects' requests to exercise their GDPR rights.
  • Soddisfare i requisiti di assistenza e notifica delle violazioni.Meet the breach notification and assistance requirements.
  • Assistere i titolari del trattamento nella realizzazione delle valutazioni d'impatto sulla protezione dei dati e nei rapporti con le autorità garanti.Assist controllers with data protection impact assessments and consultation with supervisory authorities.
  • Eliminare o restituire i dati personali alla fine della fornitura dei servizi.Delete or return personal data at the end of provision of services.
  • Supportare il titolare del trattamento nella dimostrazione della conformità al GDPR.Support the controller with evidence of compliance with the GDPR.

In che modo Microsoft semplifica il trasferimento dei dati personali al di fuori dell'Unione Europea?Under what basis does Microsoft facilitate the transfer of personal data outside of the EU?

Microsoft utilizza da molto le clausole contrattuali standard (note anche come Clausole modello) come base per il trasferimento dei dati per i propri servizi online aziendali.Microsoft has long used the Standard Contractual Clauses (also known as the Model Clauses) as a basis for transfer of data for its enterprise online services. Le clausole contrattuali standard sono condizioni standard fornite dalla Commissione Europea che possono essere usate per trasferire i dati al di fuori dello Spazio economico europeo in modo conforme.The Standard Contractual Clauses are standard terms provided by the European Commission that can be used to transfer data outside the European Economic Area in a compliant manner. Microsoft ha integrato le clausole contrattuali standard in tutti i suoi contratti multilicenza tramite le Condizioni dei servizi online .Microsoft has incorporated the Standard Contractual Clauses into all of our Volume Licensing agreements via the Online Services Terms. L'implementazione delle clausole contrattuali standard da parte di Microsoft è stata ritenuta conforme dal Gruppo dell'articolo 29 per la tutela dei dati.The Article 29 Working Party has found Microsoft's implementation of the Standard Contractual Clauses are compliant. Inoltre, quando è entrato in vigore l'EU-US Privacy Shield, Microsoft è stata la prima azienda a certificarsi.And when the EU-US Privacy Shield became available, Microsoft was the first company to certify. Vedere la certificazione Microsoft per il Privacy Shield e leggere le Condizioni per i servizi online.See Microsoft's certification to the Privacy Shield, and read the Online Services Terms. L'EU-US Privacy Shield consente ai clienti che desiderano trasferire i propri dati negli Stati Uniti di farlo in maniera conforme ai propri obblighi di protezione dei dati.The EU-US Privacy Shield helps customers that want to transfer their data to the US do so in a manner consistent with their data protection obligations.

Quali sono le altre offerte di Microsoft per la conformità?What are the other Microsoft compliance offerings?

Essendo un'azienda globale con clienti in quasi ogni paese del mondo, Microsoft offre un portfolio di soluzioni di conformità interessante per aiutare i clienti.As a global company with customers in nearly every country in the world, Microsoft has a robust compliance portfolio to assist our customers. Per un elenco completo delle nostre offerte di conformità tra cui FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud e molti altri, consultare gli argomenti dedicati alle offerte di conformità.To view a complete list of our compliance offerings including FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, and many others visit our compliance offering topics.

In che modo il GDPR interesserà la mia azienda?How will GDPR affect my company?

Il GDPR impone alle organizzazioni che raccolgono o trattano dati personali un'ampia gamma di requisiti, tra cui quello di rispettare sei principi chiave:The GDPR imposes a wide range of requirements on organizations that collect or process personal data, including a requirement to comply with six key principles:

  • Trasparenza, correttezza e liceità nel trattamento e nell'utilizzo dei dati personali.Transparency, fairness, and lawfulness in the handling and use of personal data. Sarà necessario spiegare chiaramente alle persone in che modo verranno usati i dati personali e avere una "base legittima" per trattarli.You will need to be clear with individuals about how you are using personal data and will also need a "lawful basis" to process that data.
  • Limitare il trattamento dei dati personali a finalità determinate, esplicite e legittime.Limiting the processing of personal data to specified, explicit, and legitimate purposes. Non è consentito riutilizzare o divulgare i dati personali per scopi non "compatibili" con lo scopo per il quale sono stati raccolti in origine.You will not be able to reuse or disclose personal data for purposes that are not "compatible" with the purpose for which the data was originally collected.
  • Minimizzare la raccolta e l'archiviazione dei dati personali a quanto sia adeguato e pertinente per le finalità previste.Minimizing the collection and storage of personal data to that which is adequate and relevant for the intended purpose.
  • Garantire l'esattezza dei dati personali e consentirne la cancellazione o rettifica.Ensuring the accuracy of personal data and enabling it to be erased or rectified. Devono essere adottate tutte le misure necessarie affinché i dati personali conservati siano esatti e possano essere corretti in caso di errori.You will need to take steps to ensure that the personal data you hold is accurate and can be corrected if errors occur.
  • Limitare l'archiviazione dei dati personali.Limiting the storage of personal data. I dati personali devono essere conservati solo per il periodo necessario a raggiungere gli scopi per i quali sono stati raccolti.You will need to ensure that you retain personal data only for as long as necessary to achieve the purposes for which the data was collected.
  • Garantire la sicurezza, l'integrità e la riservatezza dei dati personali.Ensuring security, integrity, and confidentiality of personal data. L'organizzazione deve adoperarsi per proteggere i dati personali adottando misure tecniche e organizzative adeguate.Your organization must take steps to keep personal data secure through technical and organizational security measures.

Occorrerà comprendere quali sono gli obblighi specifici dell'organizzazione per quanto riguarda il GDPR e in che modo è possibile rispettarli, potendo contare sull'aiuto di Microsoft lungo il percorso di adeguamento al GDPR.You will need to understand what your organization's specific obligations are to the GDPR are and how you will meet them, though Microsoft is here to help you on your GDPR journey.

Quali diritti devono essere garantiti dalle aziende in base al GDPR?What rights must companies enable under GDPR?

Il GDPR offre ai residenti dell'Unione Europea il controllo dei propri dati personali attraverso un set di "diritti dell'interessato".The GDPR provides EU residents with control over their personal data through a set of 'data subject rights'. Includono il diritto a:This includes the right to:

  • Accedere alle informazioni sulle modalità di utilizzo dei dati personali.Access information about how personal data is used.
  • Accedere ai dati personali di cui un'organizzazione è in possesso.Access personal data held by an organization.
  • Far eliminare o correggere dati personali non corretti.Have incorrect personal data deleted or corrected.
  • Far modificare e cancellare i dati personali in determinate circostanze (il cosiddetto "diritto all'oblio").Have personal data rectified and erased in certain circumstances (sometimes referred to as the "right to be forgotten").
  • Limitare o opporsi al trattamento automatico dei dati personali.Restrict or object to automated processing of personal data.
  • Ricevere una copia dei dati personali.Receive a copy of personal data.

Cosa si intende per responsabili del trattamento e titolari del trattamento?What are Processors and Controllers?

Un titolare del trattamento è una persona fisica o giuridica, una pubblica autorità, un'agenzia o un altro organismo che, da solo o congiuntamente ad altri, determina le finalità e le modalità del trattamento dei dati personali.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Un responsabile del trattamento è una persona fisica o giuridica, un'autorità pubblica o altro ente che tratta i dati personali per conto del titolare del trattamento.A processor is a natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.

Il GDPR si applica ai responsabili e titolari del trattamento?Does the GDPR apply to Processors and Controllers?

Sì, si applica a entrambe le figure.Yes, the GDPR applies to both controllers and processors. I titolari devono servirsi esclusivamente di responsabili che attuano misure per soddisfare i requisiti del GDPR.Controllers must only use processors that take measures to meet the requirements of the GDPR. Ai sensi del GDPR, i responsabili del trattamento sono soggetti a compiti e responsabilità per la mancata conformità, o per violazione delle istruzioni fornite dal titolare del trattamento, maggiori rispetto alla Direttiva sulla protezione dei dati.Under the GDPR, processors face additional duties and liability for noncompliance, or acting outside of instructions provided by the controller, as compared to the Data Protection Directive. I compiti del responsabile del trattamento includono, a titolo esemplificativo:Processor duties include, but are not limited to:

  • Trattamento dei dati solo in base alle istruzioni fornite dal titolare.Processing data only as instructed by the controller.
  • Attuazione di misure tecniche e organizzative appropriate per proteggere i dati personali.Using appropriate technical and organizational measures to protect personal data.
  • Assistenza al titolare per quanto riguarda le richieste degli interessati.Assisting the controller with data subject requests.
  • Garanzia che i responsabili secondari a cui si affida soddisfino questi requisiti.Ensuring subprocessors it engages meet these requirements.

Quali sanzioni possono essere comminate alle aziende per mancata conformità?How much can companies be fined for noncompliance?

Le sanzioni per mancato rispetto di determinati requisiti del GDPR possono arrivare fino a 20 milioni di € o al 4% del fatturato globale annuo, se superiore.Companies can be fined up to €20m or 4% of annual global turnover, whichever is greater, for failure to meet certain GDPR requirements. Altre azioni di riparazione individuali potrebbero aumentare il rischio in caso di mancato rispetto dei requisiti del GDPR.Additional individual remedies could increase your risk if you fail to adhere to GDPR requirements.

L'azienda deve nominare un responsabile della protezione dei dati?Does my business need to appoint a Data Protection Officer (DPO)?

Dipende da diversi fattori identificati all'interno del regolamento.It depends on several factors identified within the regulation. L'Articolo 37 del GDPR afferma che i titolari e i responsabili del trattamento devono nominare un responsabile della protezione dei dati nei casi in cui: (a) il trattamento sia effettuato da un'autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali; (b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in operazioni di trattamento che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; o (c) le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.Article 37 of the GDPR states that controllers and processors shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offenses referred to in Article 10.

Quanto costerà adeguarsi al GDPR?How much will it cost to meet compliance with the GDPR?

La conformità al GDPR costerà tempo e denaro alla maggior parte delle organizzazioni, anche se la transizione può essere meno complessa per quelle organizzazioni che già operano secondo un modello di servizi cloud ben progettato e che hanno già attuato un programma efficace di governance dei dati.Meeting compliance with the GDPR will cost time and money for most organizations, though it may be a smoother transition for those who are operating in a well-architected cloud services model and have an effective data governance program in place.

Come si fa a sapere se i dati trattati dall'organizzazione rientrano nell'ambito di applicazione del GDPR?How do I know if the data that my organization is processing is covered by the GDPR?

Il GDPR disciplina la raccolta, l'archiviazione, l'utilizzo e la condivisione dei "dati personali".The GDPR regulates the collection, storage, use, and sharing of 'personal data'. Nel GDPR, i dati personali sono definiti molto ampiamente come qualsiasi dato relativo a una persona fisica identificata o identificabile.Personal data is defined broadly under the GDPR as any data that relates to an identified or identifiable natural person.

I dati personali possono includere, ad esempio, identificatori online (come gli indirizzi IP), informazioni sui dipendenti, database di vendita, dati sui servizi al cliente, moduli per i feedback dei clienti, dati sulla posizione, dati biometrici, riprese a circuito chiuso, record relativi a programmi di fidelizzazione, informazioni sanitarie e finanziare e molto altro.Personal data can include, but is not limited to, online identifiers (for example, IP addresses), employee information, sales databases, customer services data, customer feedback forms, location data, biometric data, CCTV footage, loyalty scheme records, health, and financial information and much more. Possono anche includere informazioni che potrebbero non sembrare personali, ad esempio la foto di un panorama senza persone, in cui le informazioni sono collegate tramite un numero di account o un codice univoco a una persona identificabile.It can even include information that does not appear to be personal-such as a photo of a landscape without people-where that information is linked by an account number or unique code to an identifiable individual. Anche i dati personali pseudonimizzati possono essere dati personali se lo pseudonimo può essere ricondotto a una persona specifica.And even personal data that has been pseudonymized can be personal data if the pseudonym can be linked to a particular individual.

Il trattamento di alcune categorie "speciali" di dati personali, come i dati che rivelano l'origine etnica o razziale di una persona oppure relativi alla sua salute o al suo orientamento sessuale, è soggetto a regole ancora più rigide rispetto al trattamento dei dati personali "normali".Processing of certain "special" categories of personal data – such as personal data that reveals a person's racial or ethnic origin, or concerns their health or sexual orientation – is subject to more stringent rules than the processing of "ordinary" personal data. La valutazione dei dati personali dipende in larga misura dalle circostanze, per cui è consigliabile rivolgersi a un esperto per valutare ogni circostanza specifica.This evaluation of personal data is highly fact-specific, so we recommend engaging an expert to evaluate your specific circumstances.

La mia organizzazione tratta dati solo per conto di altri. Deve comunque adeguarsi al GDPR?My organization is only processing data on behalf of others. Does it still need to comply with the GDPR?

Sì.Yes. Anche se le regole possono essere diverse in qualche modo, il GDPR si applica alle organizzazioni che raccolgono e trattano i dati per i propri scopi ("titolari del trattamento") e alle organizzazioni che trattano i dati per conto di altri ("responsabili del trattamento"). Although the rules differ somewhat, the GDPR applies to organizations that collect and process data for their own purposes ('controllers') as well as to organizations that process data on behalf of others ('processors'). Si tratta di un cambiamento rispetto alla Direttiva sulla protezione dei dati esistente, che si applica ai titolari del trattamento.This requirement is a shift from the existing Data Protection Directive, which applies to controllers.

Cosa si intende nello specifico per dati personali?What specifically is deemed personal data?

Per dati personali si intende qualsiasi informazione riguardante una persona identificata o identificabile.Personal data is any information relating to an identified or identifiable person. Non esiste distinzione tra i ruoli privati, pubblici o professionali di una persona.There is no distinction between a person's private, public, or work roles. I dati personali possono includere:Personal data can include:

  • NomeName
  • Indirizzo di residenzaHome address
  • Indirizzo di lavoroWork address
  • Numero di telefonoTelephone number
  • Numero di cellulareMobile number
  • Indirizzo di posta elettronicaEmail address
  • Numero di passaportoPassport number
  • Numero di carta di identitàNational ID card
  • Numero di previdenza sociale (o equivalente)Social Security Number (or equivalent)
  • Patente di guidaDriver's license
  • Informazioni fisiche, psicologiche o genetichePhysical, physiological, or genetic information
  • Informazioni medicheMedical information
  • Identità culturaleCultural identity
  • Dettagli bancari/numeri di contoBank details / account numbers
  • Codice fiscaleTax file number
  • Indirizzo di lavoroWork address
  • Numeri di carta di credito/debitoCredit/Debit card numbers
  • Post sui social mediaSocial media posts
  • Indirizzo IP (area geografica Unione Europea)IP address (EU region)
  • Posizione/dati GPSLocation / GPS data
  • CookiesCookies

È consentito trasferire i dati al di fuori dell'Unione Europea?Am I allowed to transfer data outside of the EU?

Sì, tuttavia il GDPR disciplina in modo rigido i trasferimenti dei dati personali dei cittadini europei al di fuori dello Spazio economico europeo.Yes, however the GDPR strictly regulates transfers of personal data of European residents to destinations outside the European Economic Area. Può essere necessario creare un meccanismo legale specifico, ad esempio un contratto, o aderire a un meccanismo di certificazione per poter effettuare questi trasferimenti.You may need to set up a specific legal mechanism, such as a contract, or adhere to a certification mechanism in order to enable these transfers. I meccanismi usati da Microsoft sono descritti nelle Condizioni dei servizi online.Microsoft details the mechanisms we use in the Online Services Terms.

La conformità prevede requisiti di conservazione dei dati. Questi requisiti prevalgono sul diritto di cancellazione?I have data retention requirements through compliance. Do these requirements override the right to erasure?

Nel caso in cui il trattamento continuo e la conservazione dei dati siano legittimamente giustificati, ad esempio "per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento" (Articolo 17(3)(b)), il GDPR riconosce che le organizzazioni potrebbero dover essere obbligate a conservare i dati.Where there are legitimate grounds for continued processing and data retention, such as 'for compliance with a legal obligation, which requires processing by Union or Member State law to which the controller is subject' (Article 17(3)(b)), the GDPR recognizes that organizations may be required to retain data. È comunque necessario rivolgersi a un consulente legale per assicurarsi che le basi per la conservazione siano valutate tenendo in considerazione i diritti e le libertà degli interessati, le loro aspettative al momento della raccolta dei dati e così via.You should, however, make sure you engage your legal counsel to ensure that the grounds for retention are weighed against the rights and freedoms of the data subjects, their expectations at the time the data was collected, etc.

Il GDPR si occupa della crittografia?Does the GDPR deal with encryption?

Nell'ambito del GDPR, la crittografia è identificata come misura protettiva che rende i dati personali incomprensibili in caso di violazione.Encryption is identified in the GDPR as a protective measure that renders personal data unintelligible when it is affected by a breach. Pertanto, il fatto che la crittografia venga utilizzata o meno può influire sui requisiti di notifica in caso di violazione dei dati personali.Therefore, whether or not encryption is used may impact requirements for notification of a personal data breach. Il GDPR considera inoltre la crittografia come una misura tecnica o organizzativa appropriata in alcuni casi, a seconda del rischio.The GDPR also points to encryption as an appropriate technical or organizational measure in some cases, depending on the risk. La crittografia è anche un requisito per la conformità al PCI DSS (Payment Card Industry Data Security Standard) e fa parte delle rigorose linee guida di conformità specifiche del settore dei servizi finanziari.Encryption is also a requirement through the Payment Card Industry Data Security Standard and part of the strict compliance guidelines specific to the financial services industry. I prodotti e servizi Microsoft come Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365, SQL Server/Database SQL di Azure e Windows 10 offrono una solida crittografia dei dati in transito e dei dati inattivi.Microsoft products and services such as Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, and Windows 10 offer robust encryption for data in transit and data at rest.

In che modo il GDPR cambia la risposta di un'organizzazione alle violazioni dei dati personali?How does the GDPR change an organization's response to personal data breaches?

Il GDPR cambierà i requisiti in materia di protezione dei dati e renderà più stringenti gli obblighi dei titolari e responsabili del trattamento per quanto riguarda la comunicazione delle violazioni dei dati personali.The GDPR will change data protection requirements and make stricter obligations for processors and controllers regarding notice of personal data breaches. In base al nuovo regolamento, il responsabile del trattamento è tenuto a informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.Under the new regulation, the processor must notify the data controller of a personal data breach, after having become aware of it, without undue delay. Quando viene a conoscenza di una violazione dei dati personali, il titolare del trattamento è tenuto a informare l'autorità incaricata della protezione dei dati competente entro 72 ore.Once aware of a personal data breach, the controller must notify the relevant data protection authority within 72 hours. Se la violazione potenzialmente presenta un rischio elevato per i diritti e le libertà delle persone, i titolari dovranno anche informare gli interessati senza ingiustificato ritardo.If the breach is likely to result in a high risk to the rights and freedoms of individuals, controllers will also need to notify impacted individuals without undue delay. Ulteriori indicazioni su questo argomento sono in fase di sviluppo da parte del Gruppo dell'articolo 29 per la tutela dei dati dell'Unione Europea.Additional guidance on this topic is being developed by the EU's Article 29 Working Party.

I prodotti e servizi Microsoft, quali Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 e Windows 10, offrono soluzioni utili per rilevare e valutare le violazioni e le minacce per la sicurezza e a ottemperare agli obblighi di notifica delle violazioni previsti dal GDPR.Microsoft products and services—such as Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365, and Windows 10—have solutions available today to help you detect and assess security threats and breaches and meet the GDPR's breach notification obligations.

Risorse aggiuntiveAdditional resources