Decreto Reale spagnolo 1720/2007, Legge Organica spagnola 15/1999 (LOPD)

  • Articolo

Panoramica sul Decreto Reale spagnolo 1720/2007, Legge Organica spagnola 15/1999

L'AEPD è l'autorità pubblica che supervisiona il rispetto della Legge Organica spagnola 15/1999 per la protezione dei dati personali (Ley Orgánica 15/1999 de Protección de Datos, o LOPD), che disciplina anche il trasferimento internazionale di dati. Nel 2014, l'AEPD ha esaminato i termini e le condizioni di Microsoft applicabili ai servizi Microsoft Azure, Dynamics 365 e Office 365, tutti conformi alle clausole modello UE, emettendo una risoluzione che afferma come tali termini forniscano ai clienti adeguate garanzie per lo spostamento dei dati personali a tali servizi Microsoft.

Il titolo VIII del Decreto Reale 1720/2007 stabilisce stringenti requisiti per il trattamento dei dati personali, includendo l'obbligo di implementazione di una dettagliata serie di misure di sicurezza, di livello base, intermedio ed elevato. Microsoft si è rivolta a una società di revisione indipendente in Spagna, BDO Auditores, affinché valutasse la conformità al Decreto Reale 1720/2007 di Microsoft Azure e Office 365, relativamente ai requisiti di livello elevato, e di Microsoft Dynamics 365 per quanto riguarda i requisiti di livello intermedio. Basandosi su interviste, visite presso le strutture nonché su una revisione delle misure e dei controlli di sicurezza fisica e ambientale, tale società di revisione ha stabilito che Microsoft Azure e Office 365, con i loro sistemi informatici, le strutture e i metodi di elaborazione dei dati, soddisfano gli standard più elevati senza alcuna necessità di ulteriore adattamento.

Microsoft e il Decreto Reale spagnolo 1720/2007, Legge Organica spagnola 15/1999

Microsoft è il primo provider di servizi cloud con iperscalabilità che riceve l'autorizzazione dell'Agenzia spagnola per la protezione dei dati (Agencia Española de Protección de Datos o AEPD) per la sua conformità agli elevati standard in materia di trasferimento internazionale di dati previsti dalla Legge Organica spagnola 15/1999 (Ley Orgánica 15/1999 de Protección de Datos o LOPD). Microsoft è anche il primo provider di servizi cloud con iperscalabilità ad ottenere la certificazione di un ente di controllo terzo in merito alla conformità dei propri servizi online secondo le misure di sicurezza descritte nel titolo VIII del Decreto Reale 1720/2007. Questa autorizzazione consente ai clienti il trasferimento di dati personali ai servizi Microsoft Azure, Dynamics 365 e Office 365 nel rispetto delle clausole modello dell'Unione Europea.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Office 365 e LOPD

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender per Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do per il Web, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Cloud App Security, gruppi di Office 365, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Controlli, report e certificati

Microsoft Azure

  • Autorizzazione (spagnolo): risoluzione spagnola sulla protezione dei dati che indica che i servizi Office 365, Azure e Dynamics 365 offrono una protezione adeguata per rispettare le leggi locali sulla protezione dei dati in Spagna.

Microsoft Office 365

  • Autorizzazione (spagnolo): risoluzione spagnola sulla protezione dei dati che indica che i servizi Office 365, Azure e Dynamics 365 offrono una protezione adeguata per rispettare le leggi locali sulla protezione dei dati in Spagna.

Microsoft Dynamics 365

  • Autorizzazione (spagnolo): risoluzione spagnola sulla protezione dei dati che indica che i servizi Office 365, Azure e Dynamics 365 offrono una protezione adeguata per rispettare le leggi locali sulla protezione dei dati in Spagna.

Domande frequenti

Che vantaggio ricevono i clienti dal fatto che Microsoft rispetti gli standard più elevati?

Tali standard di alto livello si applicano all'elaborazione di dati sensibili come le informazioni sanitarie. I clienti che usano Microsoft Azure e Office 365 possono godere della certezza che i propri dati sensibili siano trattati in accordo a quanto stabilito dal Decreto Reale spagnolo 1720/2007.

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?

Sì. Se l'organizzazione richiede o sta cercando di ottenere un accreditamento in linea con la LOPD o il Decreto Reale 1720/2007, è possibile avvalersi dell'autorizzazione dell'AEPD e della certificazione delle misure di sicurezza ai fini della propria valutazione di conformità. Tuttavia, hai la responsabilità di affidare l'incarico a un esperto, affinché valuti la tua implementazione distribuita su Microsoft Azure, Dynamics 365 od Office 365, nonché per i controlli e i processi interni all'organizzazione.

Risorse