Normativa sulla privacy in CanadaCanadian Privacy Laws

Normativa sulla privacy in CanadaAbout Canadian Privacy Laws

La normativa sulla privacy in Canada è entrata in vigore per proteggere la riservatezza delle persone e offrire loro il diritto di accedere alle informazioni personali raccolte.Canadian privacy laws were established to protect the privacy of individuals and give them the right to access information gathered about them. L'ente OPCC (Office of the Privacy Commissioner of Canada) ha il compito di supervisionare la conformità a tale normativa.The Office of the Privacy Commissioner of Canada (OPCC) oversees compliance with these laws.

La legge sulla privacy (Privacy Act) regola in che modo gli enti della pubblica amministrazione raccolgono, usano e divulgano informazioni personali, tra cui quelle dei dipendenti.The Privacy Act regulates how federal government organizations collect, use, and disclose personally identifiable information including that of federal employees. La legge PIPEDA (Personal Information Protection and Electronic Documents Act) regola le stesse attività per imprese commerciali nonché per i dipendenti di aziende soggette a regolamentazione federale, come banche, compagnie aeree e di telecomunicazioni.The Personal Information Protection and Electronic Documents Act (PIPEDA) governs the same for the business activities of commercial for-profit enterprises and for the employees of federally regulated businesses like banks, airlines, and telecommunications companies.

La legge PIPEDA si basa su 10 principi per la corretta gestione delle informazioni a cui le aziende devono adeguarsi.PIPEDA is founded on 10 fair information principles that businesses must follow if they are to comply with it. Ad esempio, il principio di base del consenso, enunciato nella legge PIPEDA, impone alle organizzazioni di ottenere l'autorizzazione da parte della persona alla raccolta o all'utilizzo delle informazioni personali.For example, the basic principle of consent gives rise to the PIPEDA requirement that organizations must obtain an individual's permission to collect or use their personal information. Le persone hanno il diritto di accedere alle informazioni personali e di segnalare eventuali errori (sulla base del principio di "accesso personale").Individuals have the right both to access that personal information and challenge its accuracy (grounded in the principle of “individual access”). Il principio di "identificazione delle finalità" impone che le informazioni personali possono essere usate solo per le finalità concordate.The principle of “identifying purposes” leads to the rule that personal information can be used only for the purposes agreed upon.

In generale, la legge PIPEDA si applica alle attività commerciali in tutte le province e nei territori, ad eccezione di quelle che operano interamente nelle province con leggi sulla privacy proprie che sono state dichiarate "sostanzialmente simili" alla legge federale.In general, PIPEDA applies to commercial activities in all provinces and territories, except those operating entirely within provinces with their own privacy laws that have been declared “substantially similar” to the federal law. Ad esempio, British Columbia, Alberta e Quebec hanno una normativa sulla privacy del settore privato considerata sostanzialmente analoga alla legge PIPEDA e, di conseguenza, si applicano le leggi provinciali al posto di quelle federali.For example, British Columbia, Alberta, and Quebec have private sector privacy legislation deemed substantively similar to PIPEDA, and as a result the provincial laws are followed there in place of the federal legislation.

Microsoft e la normativa sulla privacy in CanadaMicrosoft and Canadian privacy laws

Microsoft Azure e Microsoft Intune sono stati sviluppati secondo gli standard di sicurezza ISO/IEC e Microsoft implementa misure tecniche e organizzative per proteggere i dati dei clienti.Microsoft Azure and Microsoft Intune are built with established ISO/IEC security standards in mind, and Microsoft maintains technical and organizational measures to protect customer data. Queste misure sono conformi ai requisiti previsti dagli standard di sicurezza come ISO/IEC 27001 e ISO/IEC 27002 e il codice di condotta sulla privacy nel cloud, ISO/IEC 27018.These measures comply with the requirements set forth in such established security standards as ISO/IEC 27001 and ISO/IEC 27002, and the code of practice for cloud privacy, ISO/IEC 27018. Microsoft ha valutato le proprie procedure in merito alla gestione di rischi, sicurezza e incidenti, al controllo degli accessi, alla protezione dell'integrità dei dati e ad altre aree relative ai suggerimenti forniti dall'OPCC (Office of the Privacy Commissioner of Canada) e ha stabilito che i servizi Azure e Intune inclusi nell'ambito sono conformi a tali indicazioni.Microsoft has assessed its practices in risk, security, and incident management; access control; data integrity protection; and other areas relative to the recommendations from the Office of the Privacy Commissioner of Canada, and has determined that in-scope Azure and Intune services can meet those recommendations. Ciò significa che Azure e Intune consentono ai clienti di essere conformi ai requisiti imposti dalla normativa sulla privacy in Canada.This means that Azure and Intune can help customers meet the requirements of Canadian privacy laws.

Per supportare le organizzazioni del settore pubblico e privato preoccupate dall'integrità dei dati, Microsoft ha creato due data center in Canada, a Toronto e Quebec City.To support public- and private-sector organizations that are concerned about data sovereignty, Microsoft has established two datacenters in Canada in Toronto and Quebec City. Questi data center consentono di aggiungere servizi a livello locale di storage fisico, failover, ripristino di emergenza per i dati dei clienti principali a riposo, come stabilito nelle Condizioni dei Microsoft Online Services.These datacenters add in-country data residency, failover, and disaster recovery for core customer data at rest as defined in the Microsoft Online Services Terms.

Per aiutare i clienti in Canada a valutare l'esternalizzazione delle funzioni aziendali nel cloud, Microsoft ha pubblicato il documento Navigating your way to the cloud: A compliance checklist for financial institutions in Canada (Come orientarsi nel cloud: elenco di controllo sulla conformità degli istituti finanziari in Canada).To assist Canadian customers who are considering outsourcing business functions to the cloud, Microsoft has published Navigating your way to the cloud: A compliance checklist for financial institutions in Canada. Questo documento presenta una panoramica del quadro legislativo, inclusa la normativa in materia di privacy, e un elenco dettagliato del modo in cui i servizi cloud Microsoft consentono alle organizzazioni di rispettare i requisiti contrattuali in merito agli accordi di esternalizzazione.This document provides an overview of the regulatory landscape, including privacy regulations, and a detailed listing of how Microsoft business cloud services can help organizations meet contractual requirements for material outsourcing arrangements.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Come eseguire l'implementazioneHow to implement

Domande frequentiFrequently asked questions

I clienti che usano Azure e Intune sono conformi alla legge PIPEDA e ad altre normative sulla privacy in Canada?Can customers using Azure and Intune comply with PIPEDA and other Canadian privacy laws?

Nelle Condizioni dei Microsoft Online Services, Microsoft dichiara di essere conforme alle leggi e alle normative che si applicano alla fornitura dei Microsoft Online Services.Microsoft agrees in its Online Services Terms that it complies with laws and regulations that apply to its provision of Microsoft Online Services. Tuttavia, le organizzazioni che usano i servizi cloud Microsoft aziendali rimangono sempre responsabili della conformità alle normative in materia di privacy in Canada. La legge chiarisce che le organizzazioni sono le uniche responsabili della gestione corretta e della protezione adeguata dei dati riservati raccolti.However, organizations that use Microsoft business cloud services always remain accountable for adherence to Canadian privacy legislation — the laws are clear that organizations are ultimately responsible for ensuring that any sensitive data they gather is fairly handled and adequately protected.

Di conseguenza, la privacy è una responsabilità condivisa tra Microsoft, come provider di servizi cloud, e il cliente, che utilizza i servizi cloud.As a result, privacy is a shared responsibility between Microsoft as a cloud service provider and the customer using cloud services. A un livello più alto, ciò significa che i clienti devono garantire che le soluzioni implementate negli ambienti Microsoft soddisfino i 10 principi codificati nella legge PIPEDA come, ad esempio, ottenere il consenso degli utenti a raccogliere i dati e salvaguardarli con misure di sicurezza appropriate.At a high level, this means that customers must ensure that their solutions implemented within Microsoft environments address the 10 principles codified in PIPEDA — for example, getting the consent of individuals to collect their data and safeguarding it with adequate security measures.

Quali controlli di terze parti certificano l'ambiente di controllo della sicurezza di Azure e Intune?What third-party audits validate the security control environment of Azure and Intune?

Azure e Intune sono stati progettati in base a standard di sicurezza consolidati come ISO/IEC 27001 e il framework SOC.Azure and Intune are built on such established security standards as ISO/IEC 27001 and the SOC framework. La conformità a questi standard è certificata da revisori di terze parti che forniscono una valutazione indipendente sulla presenza e sul funzionamento corretto dei controlli di sicurezza.Their compliance with these standards is confirmed by third-party auditors who provide independent validation that security controls are in place and operating effectively.

Per ogni controllo viene creato un report, che Microsoft rende disponibile nel portale di Microsoft Service Trust o in un'altra posizione.Each audit results in the generation of an audit report, which Microsoft makes available either on the Microsoft Service Trust Portal or at another location. Microsoft fornisce i report di controllo ai clienti che ne fanno esplicita richiesta. Tali report sono soggetti a clausole di non divulgazione e limiti sulla distribuzione da parte di Microsoft e del revisore.Microsoft provides audit reports to customers who request them, subject to non-disclosure and distribution limitations of Microsoft and the auditor.

I clienti conoscono il percorso fisico in cui sono archiviati i dati?Will customers know the physical location where their data is stored?

I clienti dei servizi cloud Microsoft per le aziende in Canadasono a conoscenza del luogo in cui vengono archiviati i dati dei clienti.Canadian customers of Microsoft business cloud services will know where their customer data is stored. Indipendentemente dal luogo di archiviazione dei dati dei clienti, Microsoft non controlla o limita i luoghi dai quali i clienti e gli utenti finali possono eseguire l'accesso ai dati personali.Furthermore, no matter where customer data is located, Microsoft does not control or limit the locations from which customers or their end users may access their data.

La legge PIPEDA non richiede alle aziende canadesi di mantenere le informazioni personali in Canada.PIPEDA doesn’t require Canadian businesses to keep personal information in Canada. Tuttavia, a seconda della provincia, o del settore, in cui operano le organizzazioni, potrebbe essere richiesto di mantenere determinati tipi di dati all'interno dei confini canadesi.However, depending on the province where organizations do business, or their industry, they could be required to keep certain types of data within Canadian borders. Per soddisfare tali requisiti, Microsoft ha creato due data center in Canada che supportano Azure e Intune, a Toronto e Quebec City. Ogni data center è conforme ai rigorosi requisiti di sicurezza.To help address these types of requirements, Microsoft has established two datacenters in Canada that support Azure and Intune — in Toronto and Quebec City — and verifies that each datacenter meets stringent security requirements.

RisorseResources