Posizioni dei dati per l'Unione europeaData locations for the European Union

I dati dei clienti sono fondamentaliYour data is your business

Microsoft riconosce l'importanza di mantenere la privacy e la riservatezza dei dati aziendali.Microsoft recognizes the importance of maintaining the privacy and confidentiality of your business data. I dati appartengono all'utente, che può accedervi, modificarli o eliminarli in qualsiasi momento.Your data belongs to you, and you can access, modify, or delete it at any time. Microsoft non userà i dati senza il consenso dell'utente e, dopo il consenso, userà i dati solo per fornire i servizi che si sono scelti.Microsoft will not use your data without your consent and, when we have your consent, we use your data to provide only the services you have chosen. Se l’utente lascia uno dei servizi, si garantisce la conservazione dei dati personali da parte dell’utente attraverso la rimozione dei dati dai sistemi secondo rigorosi standard e processi.If you leave one of our services, we ensure your continued ownership of your data, following strict standards and processes to remove the data from our systems.

Nota

I dati dei clienti, noti anche come "dati" o "dati commerciali", includono tutti i dati, tra cui testo, audio, video o file di immagine e il software fornito direttamente dall’utente o per conto dell’utente a Microsoft usando i servizi Microsoft Enterprise online, esclusi Microsoft Professional Services.Customer data (also referred to as “your data” or “your business data”) means all data, including text, sound, video or image files, and software that you provide to Microsoft or that’s provided on your behalf through your use of Microsoft enterprise online services, excluding Microsoft Professional Services. Include il contenuto dei clienti, ossia i dati caricati per la risorsa di archiviazione o l'elaborazione e le app caricate per la distribuzione tramite un servizio cloud Microsoft aziendale.It includes customer content, which is the data you upload for storage or processing and apps you upload for distribution through a Microsoft enterprise cloud service. Ad esempio, il contenuto dei cliente includi la posta elettronica e gli allegati di Exchange Online, il contenuto del sito di Microsoft SharePoint Online* o una conversazione di messaggistica istantanea.For example, customer content includes Exchange Online email and attachments, SharePoint Online site content, or instant messaging conversations.

Archiviazione ed elaborazione dei datiData storage and processing

Se si usano i servizi di Microsoft 365, si inizia con il presupposto che i clienti aziendali vorrebbero che i propri dati commerciali venissero archiviati ed elaborati poco lontano.When you use Microsoft 365 services, we start with the assumption that our enterprise customers would like to have their business data stored and processed close to home. Se possibile, si procede in questo modo.Wherever possible, we do just that. Per mantenere i dati nei data center più vicini, archiviare i dati in base alla sede aziendale fornita durante la creazione del tenant.To keep your data in datacenters nearest to you, we store your data based on the business location you provide when you create your tenant. Per scegliere le posizioni di archiviazione importanti per le attività dell'organizzazione, è possibile creare un numero illimitato di tenant per l'organizzazione.To choose storage locations that are meaningful to your organization’s businesses, you may create as many tenants for your organization as you would like.

Dove vengono archiviati i dati UE dei clientiWhere EU data is stored

Il data center GEOS è disponibile in Germania e in Francia e consente di archiviare i dati nel proprio paese, se ivi è ubicata l’azienda.We have datacenter geos in Germany and France that allow you to store data in your country if your business is located there. I data center dell'Unione europea si trovano in Austria, Finlandia, Francia, Irlanda e Paesi Bassi.Our regional European Union data centers are located in Austria, Finland, France, Ireland, and the Netherlands. I dati dei servizi seguenti verranno ospitati nelle posizioni seguenti in base all'indirizzo di fatturazione scelto:Your data for the following services will be hosted in the following locations based on which billing address you choose:

Nome del servizioService name Posizione dei tenant creati con un indirizzo di fatturazione in FranciaLocation for tenants created with a billing address in France Posizione dei tenant creati con un indirizzo di fatturazione in GermaniaLocation for tenants created with a billing address in Germany Posizione dei tenant creati con un indirizzo di fatturazione in altri paesi UELocation for tenants created with a billing address in all other EU countries
Exchange OnlineExchange Online FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
OneDrive for BusinessOneDrive for Business FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
SharePoint OnlineSharePoint Online FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
Skype for BusinessSkype for Business Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union
Microsoft TeamsMicrosoft Teams FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
Office Online e MobileOffice Online & Mobile FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
Exchange Online ProtectionExchange Online Protection FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
IntuneIntune Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union
MyAnalyticsMyAnalytics FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
PlannerPlanner Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union
YammerYammer Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union
Servizi di OneNoteOneNote Services FranciaFrance GermaniaGermany Unione EuropeaEuropean Union
StreamStream Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union
WhiteboardWhiteboard Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union
FormsForms Unione EuropeaEuropean Union Unione EuropeaEuropean Union Unione EuropeaEuropean Union

Nota

Se si dispone di un abbonamento a Office 365 Education con un indirizzo di fatturazione in Francia o Germania, i dati potrebbero essere archiviati nei data center dell'Unione europea.If you have an Office 365 Education subscription with a billing address in France or Germany, your data may be stored in our regional European Union datacenters. Per le posizioni dei dati del tenant all'esterno dell'Unione europea, vedere Dove sono archiviati i dati dei clienti di Microsoft 365.For the locations of tenant data outside of the EU, see Where your Microsoft 365 customer data is stored.

Dove vengono calcolati i dati nell’Unione europeaWhere EU data is computed

Quando si inizia a usare uno dei servizi sopraindicati, i calcoli necessari per fornire il servizio per i dati archiviati in uno dei data center europei locali (o nel proprio paese) vengono eseguiti all'interno di tale confine geografico, a meno che non sia necessario un trasferimento temporaneo dei dati per eseguire il calcolo in un data center Microsoft disponibile più lontano.When you initiate the use of any of the above services, the computations needed to provide the service for your data stored in one of our regional European datacenters (or in your country) will take place within that same geographic boundary unless a temporary data transfer is needed to perform the computation in a Microsoft datacenter located further away.

Se è necessario un trasferimento temporaneo, si impiegherà sempre crittografia all'avanguardia per il trasferimento e i dati verranno reindirizzati subito dopo alla posizione di archiviazione dati scelta.If a temporary transfer is required, we will always employ state of the art encryption in the transfer and we will always return your data to your chosen data storage location immediately thereafter. Questi trasferimenti temporanei vengono effettuati in conformità al diritto europeo applicando le clausole contrattuali standard (SCCs) per i trasferimenti temporanei, insieme alle misure aggiuntive per garantire la protezione dei dati.We rely on our compliance with European law through the Standard Contractual Clauses (SCCs) for these temporary transfers, along with our supplemental measures to ensure the data is protected.

Per altre informazioni, vedere Clausole del modello dell'Unione europea.To learn more, see European Union Model Clauses.

Nota

Se si sceglie di usare questi servizi, i dati dei clienti di Sway e Workplace Analytics verranno archiviati e calcolati negli Stati Uniti.Customer data for Sway and Workplace Analytics will be stored and computed in the United States if you elect to use these services.

Nota

Dove necessario, i servizi di Microsoft 365 potrebbero eseguire query e archiviare parti di informazioni di directory del tenant/dati di identità in aree diverse dall'UE per facilitare alcuni scenari.Microsoft 365 services may query and store portions of tenant directory/identity data information in regions other than the EU where necessary to facilitate certain scenarios. Ad esempio, in scenari di routing della posta elettronica transregionale, routing e autenticazione delle chiamate, i sistemi Microsoft 365 potrebbero necessitare di alcune informazioni sui destinatari UE per instradare le richieste in modo appropriato.For example, in scenarios of cross regional e-mail routing, call routing and authentication, Microsoft 365 systems may need some information about EU recipients to route these requests properly. Anche i sistemi Microsoft 365 variano in base alle funzioni di identità e autenticazione di Azure Active Directory.Microsoft 365 systems also depend on Azure Active Directory for identity and authentication functions. Per altre informazioni, vedere archiviazione di dati di identità per clienti europei in Azure Active Directory.To learn more, see Identity data storage for European customers in Azure Active Directory.

In che modo Microsoft protegge i datiHow Microsoft protects your data

Misure di protezioneSecurity measures

Microsoft protegge i dati usando più livelli di protocolli di sicurezza e crittografia.Microsoft secures your data using multiple layers of security and encryption protocols. Ottenere una panoramica delle funzionalità di sicurezza dei dati Microsoft nell'articolo Crittografia di Microsoft 365.Get an overview of Microsoft data security capabilities in the Microsoft 365 encryption article.

Per impostazione predefinita, le chiavi gestite di Microsoft proteggono i dati dei clienti.By default, Microsoft Managed Keys protect your customer data. I dati che rimangono permanenti su qualsiasi supporto fisico sono sempre crittografati con protocolli di crittografia conformi a FIPS 140-2.Data that persists on any physical media is always encrypted using FIPS 140-2 compliant encryption protocols. È anche possibile usare le chiavi gestite dal cliente (CMK), Doppia crittografiae/o i moduli di sicurezza hardware (HSM) per una maggiore protezione dei dati.You can also employ customer-managed keys (CMK), double encryption, and/or hardware security modules (HSMs) for increased data protection.

In aggiunta, Microsoft usa per impostazione predefinita il protocollo (TLS) Transport Layer Security per crittografare i dati quando sono in transito tra i servizi cloud e i clienti.In addition, Microsoft by default uses the Transport Layer Security (TLS) protocol to encrypt data when it’s traveling between the cloud services and customers. I servizi Microsoft negoziano una connessione TLS con i sistemi client che si connettono ai servizi Microsoft 365.Microsoft Services negotiate a TLS connection with client systems that connect to Microsoft 365 services.

Per impedire l'accesso fisico non autorizzato ai data center, vengono impiegati controlli e processi operativi rigorosi che includono videocontrolli continui, personale di sicurezza addestrato e processi specifici, nonché controlli di accesso multifattoriali come smart card o biometrici.To prevent unauthorized physical access to datacenters, we employ rigorous operational controls and processes that include 24×7 video monitoring, trained security personnel and processes, and smart card or biometric multifactor access controls. Al termine del ciclo vitale, i dischi dati vengono eliminati e distrutti.Upon end of life, data disks are shredded and destroyed. Se un'unità disco usata per la risorsa di archiviazione subisce un errore hardware o raggiunge la fine del ciclo vitale, viene cancellata o eliminata in tutta sicurezza.If a disk drive used for storage suffers a hardware failure or reaches its end of life, it is securely erased or destroyed. I dati nell'unità vengono completamente sovrascritti per assicurare che non sia possibile recuperare i dati con alcun mezzo.The data on the drive is completely overwritten to ensure the data cannot be recovered by any means. Quando tali dispositivi vengono eliminati, vengono triturati e distrutti in linea con il NIST SP 800-88 R1, linee guida per la sanificazione dei supporti.When such devices are decommissioned, they are shredded and destroyed in line with NIST SP 800-88 R1, Guidelines for Media Sanitization. Le registrazioni dell’avvenuta distruzione vengono conservate e riviste nell'ambito del processo di controllo e conformità Microsoft.Records of the destruction are retained and reviewed as part of the Microsoft audit and compliance process. Tutti i servizi di Microsoft 365 usano i servizi di gestione delle risorse di archiviazione e smaltimento di supporti approvati.All Microsoft 365 services utilize approved media storage and disposal management services.

Controlli tecniciTechnical controls

Oltre alle protezioni fisiche e tecnologiche, Microsoft adotta misure efficaci per proteggere i dati dei clienti da accessi non autorizzati da parte del personale e dei subappaltatori Microsoft.In addition to the physical and technological protections, Microsoft takes strong measures to help protect your customer data from unauthorized access by Microsoft personnel and subcontractors. L'accesso ai dati dei clienti tramite le operazioni Microsoft e il personale di supporto viene negato per impostazione predefinita.Access to customer data by Microsoft operations and support personnel is denied by default. Quasi tutte le operazioni di servizio eseguite da Microsoft sono completamente automatizzate e la partecipazione umana è estremamente controllata ed eliminata dai dati dei clienti.Nearly all service operations performed by Microsoft are fully automated and human involvement is highly controlled and abstracted away from customer data.

Solo in rari casi un tecnico Microsoft deve avere accesso ai dati dei clienti.Only in rare cases does a Microsoft engineer need access to customer data. In genere questa operazione è necessaria solo se si richiede assistenza di Microsoft per risolvere un problema del cliente.Typically this is only necessary if you request Microsoft’s assistance to resolve a customer issue. L'accesso ai dati dei clienti è estremamente limitato dai controlli di accesso basato sui ruoli, dall'autenticazione a più fattori, dalla riduzione al minimo dei dati e da altri controlli.Access to customer data is highly restricted by role-based access controls, multifactor authentication, data minimization and other controls. Tutti gli accessi ai dati dei clienti sono registrati in modo rigoroso e Microsoft e terze parti eseguono verifiche regolari, nonché controlli a campione, per attestare che l'accesso è appropriato.All access to customer data is strictly logged, and both Microsoft and third parties perform regular audits (as well as sample audits) to attest that any access is appropriate.

I clienti possono usare le chiavi gestite dai clienti per evitare che i dati siano leggibili in caso di accesso non autorizzato.Customers can use customer-managed keys to further prevent their data from being readable in case of unauthorized access. Sia la crittografia lato server sia quella lato client possono contare sulle chiavi gestite dal cliente o sulle chiavi fornite dai clienti.Both server-side and client-side encryption can rely on customer-managed keys or customer-provided keys. In entrambi i casi, Microsoft non è in grado di accedere alle chiavi di crittografia e non può decrittografare i dati.In either case, Microsoft would not have access to encryption keys and cannot decrypt the data. Controllo SOC di un revisore accreditato di AICPA due volte all'anno per verificare l'efficacia dei controlli di sicurezza nell'ambito di controllo.A SOC audit by an AICPA-accredited auditor twice a year to verifies the effectiveness of our security controls in audit scope. Il report di attestazione del SOC 2 di tipo 2 pubblicato dal revisore spiega in quali casi può verificarsi l'accesso ai dati dei clienti e come.The SOC 2 Type 2 attestation report published by the auditor explains under what circumstances access to customer data can occur and how.

Oltre a archiviare ed elaborare i dati quando si usa il servizio online, Microsoft genera i dati di servizio per monitorare l'integrità del sistema e per eseguire operazioni di servizio come la risoluzione dei problemi.In addition to storing and processing your data when you use the online services, Microsoft generates service data to monitor system health and to perform service operations such as troubleshooting. Come misura di protezione della privacy, Microsoft genera e si basa su identificatori pseudonimi in questo servizio di dati generati per poter distinguere un utente da un altro senza identificare gli utenti effettivi.As a privacy protective measure, Microsoft generates and relies upon pseudonymous identifiers in this service generated data to be able to distinguish one user from another without identifying the actual users. Gli identificatori pseudonimi non identificano direttamente una persona e le informazioni che consentono di eseguire il mapping degli identificatori pseudonimi agli utenti effettivi sono protette come parte dei dati.Pseudonymous identifiers do not directly identify a person, and the information that enables mapping pseudonymous identifiers to actual users is protected as part of your data.

Per altre informazioni, vedere Chi può accedere ai dati e in quali termini e Subprocessori e privacy dei dati.To learn more, see Who can access your data and on what terms and Subprocessors and Data Privacy.

Come Microsoft gestisce le richieste di enti pubbliciHow Microsoft handles government requests

Se un ente pubblico vuole accedere ai dati di un cliente, deve seguire i processi legali applicabili.If a government wants customer data, it must follow applicable legal processes. La richiesta deve essere inviata a Microsoft con un mandato, un ordine del tribunale, una citazione per informazioni sull'abbonato o altri dati non relativi al contenuto.Microsoft must be served with a warrant or court order for content, or a subpoena for subscriber information or other non-content data.

  • Tutte le richieste devono essere indirizzate ad account e identificatori specifici.All requests must target specific accounts and identifiers.
  • Il team addetto alla conformità legale Microsoft esamina tutte le richieste per assicurarsi che siano valide, rifiuta quelle non valide e fornisce solo i dati specificati.Microsoft’s legal compliance team reviews all requests to ensure they are valid, rejects those that are not valid, and only provides the data specified.
  • Se Microsoft è costretto per legge a divulgare i dati dei clienti, l'utente riceverà subito una notifica e riceverà una copia della richiesta, a meno che non sia legalmente vietato a Microsoft.If Microsoft is compelled by law to disclose customer data, you will be promptly notified and provided with a copy of the request, unless Microsoft is legally prohibited from doing so.
  • Microsoft effettua una revisione legale locale di ogni richiesta ricevuta secondo le leggi e gli standard locali.Microsoft conducts a local legal review of each request it receives against local laws and standards. Microsoft controlla inoltre periodicamente i processi di selezione in tutto il mondo per assicurare che vengano seguite le procedure giudiziarie locali e che venga applicata la relativa istruzione di esecuzione globale per i diritti umani.Microsoft also periodically reviews its screening processes around the world to ensure local judicial procedures are being followed and its global human rights statement is being applied.

Per altre informazioni sull'impegno di Microsoft per contestare gli ordini in linea con il GDPR dell'UE, vedere Nuovi passaggi per difendere i dati.For more information on Microsoft’s commitment to challenge orders in line with the EU’s GDPR, see New Steps to Defend Your Data.

Quando i governi o le autorità delegate all’applicazione della legge inviano una richiesta legale relativa ai dati dei clienti, Microsoft si impegna a garantire la trasparenza e limita il contenuto accessibile.When governments or law enforcement agencies make a lawful request for customer data, Microsoft is committed to transparency and limits what it discloses. Due volte all'anno Microsoft pubblica il numero di richieste legali relative ai dati dei clienti ricevute dalle autorità delegate all’applicazione della legge.Twice a year, we publish the number of legal demands for customer data that we receive from law enforcement agencies around the world. Vedere Report sulle richieste di applicazione della legge.See Law Enforcement Requests Report. Questo report non divulga le specifiche di una particolare domanda, incluso il cliente in questione.This report does not disclose the specifics of any particular demand, including the customer at issue. Due volte all'anno pubblichiamo anche i dati sulle richieste legali ricevute dal governo degli Stati Uniti.Twice a year, we also publish data about the legal demands we receive from the U.S. government. Vedere Report sugli ordini di sicurezza nazionale negli Stati Uniti per il report più recente.See US National Security Orders Report for the latest report.

Per altre informazioni, vedere Domande frequenti relative alle richieste del governo e delle autorità delegate all'applicazione della legge, incluse le domande sul CLOUD act.To learn more, see Frequently Asked Questions regarding government and law enforcement requests, including questions about the CLOUD Act.

Risorse aggiuntiveAdditional resources