Normative sulla privacy dei dati

  • 4 minuti

In tutto il mondo, molte leggi e normative riguardano la protezione dei dati e la privacy. Le due leggi più diffuse sulla privacy sono il Regolamento generale sulla protezione dei dati 2016/679 (GDPR) e il California Consumer Privacy Act del 2018 (CCPA).

  • Il GDPR è un regolamento che regola la protezione dei dati e la privacy nell'Unione europea (UE) e nello Spazio economico europeo (SEE).
  • La CCPA è una legge sulla privacy dello stato della California e la prima legge completa sulla privacy negli Stati Uniti.

Questa unità descrive i concetti e la terminologia del GDPR e il modo in cui Microsoft supporta e si impegna nei confronti delle normative sulla privacy dei dati. L'unità successiva fornisce altre informazioni sul CCPA e confronta le due normative.

Panoramica

Il GDPR regola l'uso e il trattamento dei dati personali da parte delle organizzazioni che offrono beni e servizi ai residenti dell'Unione europea o ne monitorano il comportamento. Questa normativa offre anche ai singoli utenti determinati diritti per gestire i dati personali raccolti da un'organizzazione. Il regolamento si applica indipendentemente dalla posizione in cui si trovano le organizzazioni.

Nota

Il GDPR si applica a un livello più ampio rispetto a quanto immediatamente evidente. A differenza delle leggi sulla privacy in alcune altre giurisdizioni, questo regolamento si applica alle organizzazioni di tutte le dimensioni e a tutti i settori, anche se non hanno una presenza fisica nell'UE. Collaborare con il team legale per comprendere se e come si applica questa normativa all'organizzazione.

Un obiettivo di questo regolamento è rafforzare le protezioni dei dati personali per i residenti dell'UE, concentrandosi sulla privacy e sull'utilizzo dei dati personali di un individuo. Il regolamento aggiorna ed espande la direttiva sulla protezione dei dati del 1995 conservandone molti principi stabiliti e fornendo ai singoli utenti un maggiore controllo sui dati personali. La normativa impone molti nuovi obblighi alle organizzazioni che raccolgono, gestiscono o analizzano i dati personali.

Nel contesto del GDPR, i dati hanno un ciclo di vita che inizia con la raccolta, continua con l'archiviazione, l'elaborazione e l'uso e termina con l'eliminazione dei dati dal sistema. La normativa imposta i requisiti di gestione dei dati e consiglia come ottenerli. I legislatori, inoltre, dispongono di nuovi poteri per imporre ammende significative alle organizzazioni che violano la legge. Il GDPR è entrato in vigore nel mese di maggio del 2018.

Concetti e terminologia

I concetti e i termini seguenti sono importanti per comprendere questo regolamento.

  • I dati personali sono dati correlati a una persona fisica identificata o identificabile. I dati personali sono dati collegati o ricollegabili a un individuo identificabile. Esempi comuni di dati personali includono nome, indirizzo, data di nascita e indirizzo IP. Le informazioni pseudonime, indipendentemente da quanto siano nascoste o complesse, vengono comunque considerate dati personali se sono collegate a un individuo.

  • I dati personali sensibili sono dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche o appartenenza sindacale. I dati personali sensibili includono anche dati genetici, dati biometrici che identificano una persona fisica, dati sanitari o dati relativi alla vita o l'orientamento sessuale di una persona fisica. Sono previsti maggiori obblighi per l'elaborazione di questi dati.

  • Un titolare del trattamento è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o insieme ad altri, decide gli scopi di e i metodi di elaborazione per i dati personali. Tali scopi e mezzi di elaborazione sono determinati dal titolare, dal diritto dell’Unione o dello Stato membro o da criteri specifici per la sua candidatura fornita dal diritto dell’Unione o dello Stato membro.

  • Un responsabile del trattamento è una persona fisica o giuridica, un ente pubblico, un’agenzia o un altro organismo che tratta i dati personali per conto di un titolare del trattamento.

  • Per base giuridica di elaborazione si intende che le organizzazioni devono poter puntare a una "base giuridica" per l'elaborazione dei dati personali. Esistono sei basi legali per l'elaborazione, tra cui:

    • Quando l'elaborazione è necessaria per soddisfare un contratto.
    • Quando un individuo ha acconsentito all'elaborazione dei propri dati.
    • Quando il trattamento si trova nell'interesse legittimo dell'organizzazione, purché i diritti dell'individuo non superino tale interesse.

  • I diritti del titolare dei dait assicurano agli individui diritti per quanto riguarda l'uso dei dati personali da parte di un'organizzazione o di un titolare del trattamento dei dati. In determinate circostanze, i singoli utenti possono inviare le seguenti richieste dell'interessato (DSR) per i dati personali archiviati, elaborati e trasmessi da un'organizzazione.

    • Accedere ai dati. Gli individui hanno il diritto di sapere se un'organizzazione sta elaborando i loro dati e, in caso affermativo, di avere accesso a tali dati.
    • Chiedere la rettifica dei dati. Gli individui possono richiedere che un'azienda corregga dati non accurati.
    • Chiedere l'eliminazione dei dati. Questo diritto, detto anche diritto di cancellazione, consente a un individuo di richiedere l'eliminazione dei dati personali raccolti da una società.
    • Richiedere l'elaborazione con limitazioni. Un individuo può richiedere l'eliminazione o la limitazione dell'elaborazione dei propri dati da parte di una società.
    • Richiedere la portabilità dei dati. Un individuo può richiedere che i dati vengano trasferiti a un'altra società o a un altro sistema di elaborazione.
    • Oggetto. Un individuo può obiettare sull’uso dei propri dati per vari scopi, incluso il marketing diretto.
    • Chiedere di non essere assoggettato a un processo decisionale automatico, inclusa la profilatura. Esistono regole rigide sull'utilizzo dei dati per profilare persone e decisioni basate esclusivamente sull'elaborazione automatizzata.

Supporto tecnico Microsoft

Microsoft ritiene che la privacy sia un diritto fondamentale e sostiene le normative che contribuiscono alla protezione e all'abilitazione dei diritti sulla privacy degli utenti. Microsoft si impegna a rispettare la conformità alle normative e fornisce molti prodotti, funzionalità e risorse per aiutare i clienti a soddisfare gli obblighi di conformità.

I titolari che usano servizi online Microsoft, ad esempio organizzazioni e sviluppatori, devono elaborare i dati personali solo per conto del titolare del trattamento. I controller devono fornire garanzie sufficienti per soddisfare i requisiti di conformità.

Responsabile protezione dati UE designato

Microsoft ha designato un responsabile protezione dati (DPO) europeo che funge da consulente indipendente per i gruppi tecnici e commerciali. Il DPO contribuisce a garantire che tutte le proposte di elaborazione dei dati personali soddisfino i requisiti legali dell'Unione europea e gli standard aziendali Microsoft. La progettazione del ruolo del DPO soddisfa i criteri prescritti negli articoli 37-39.

Il DPO per l’UE riferisce direttamente al responsabile della privacy di Microsoft, che è Senior Executive all'interno della divisione Microsoft Corporate and Legal Affairs. Il ruolo del DPO è dotato dell’autonomia per eseguire funzioni in modo indipendente e imparziale. Attraverso l'organizzazione del responsabile della privacy, il DPO ha accesso alle risorse di training e risposta dei clienti per poter svolgere le proprie mansioni.

Impegni e termini

Le condizioni Microsoft riflettono gli impegni seguenti richiesti dall'articolo 28 per i processori. Microsoft svolge un ruolo attivo per offrire tali impegni a tutti i clienti dei servizi online nell’ambito dei contratti di abbonamento e alle società che hanno stipulato contratti multilicenza nell’ambito dei loro contratti aziendali.

  • Usare soltanto sottoresponsabili del trattamento provvisti dell’autorizzazione del titolare del trattamento e continuare a rispondere per gli stessi.
  • Trattare i dati personali, inclusi i trasferimenti, soltanto su indicazione del titolare del trattamento.
  • Garantire che i soggetti che trattano i dati personali siano vincolati alla riservatezza.
  • Attuare misure tecniche e organizzative adeguate a garantire un livello di sicurezza dei dati personali appropriato al rischio.
  • Assistere il titolare del trattamento a rispettare i suoi obblighi di rispondere agli interessati che chiedono di esercitare i propri diritti legati ai dati personali.
  • Soddisfare i requisiti di notifica delle violazioni normative e assistenza.
  • Assistere il titolare del trattamento nelle valutazioni di impatto della protezione dei dati e nella consultazione con le autorità di controllo.
  • Rimuovere o restituire i dati personali al termine dell’erogazione dei servizi.
  • Assistere il titolare del trattamento con le prove di conformità.