Condividi tramite

Regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei dati (GDPR) introduce nuove regole per le organizzazioni che offrono beni e servizi alle persone che risiedono nell'Unione europea (UE) o che raccolgono e analizzano i dati dei residenti nell'UE in qualunque luogo si trovi l'utente o la sua azienda. Questo documento illustra le informazioni che consentono di rispettare i diritti e adempiere agli obblighi in conformità al GDPR quando si usano i prodotti e i servizi Microsoft. Un piano d'azione consigliato per il GDPR e gli elenchi di controllo di preparazione della conformità forniscono ulteriori risorse per la valutazione e l'implementazione della conformità al GDPR.

Terminologia

Definizioni utili per i termini relativi al GDPR usati nel documento:

  • Titolare del trattamento dei dati (titolare del trattamento): persona giuridica, autorità pubblica, agenzia o altro organismo che, da solo o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
  • Dati personali e interessato: qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente.
  • Responsabile del trattamento: persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che elabora i dati personali per conto del titolare del trattamento.
  • Dati dei clienti: dati prodotti e archiviati relativi alle attività quotidiane di gestione della propria attività.

Che cos'è il GDPR?

Il GDPR concede alle persone il diritto di gestire i dati personali raccolti da un'organizzazione su di loro. Persone possono esercitare questi diritti tramite una richiesta dell'interessato. L'organizzazione deve fornire informazioni tempestive sulle richieste DSR e sulle violazioni dei dati ed eseguire valutazioni d'impatto sulla protezione dei dati( DPIA).

Quando si implementano o si valutano i requisiti del GDPR, considerare diversi punti:

  • Sviluppo e valutazione dell'informativa sulla privacy relativa ai dati in conformità al GDPR.
  • Valutazione della sicurezza dei dati dell'organizzazione.
  • Identificazione del titolare del trattamento dei dati.
  • Determinazione dei processi di sicurezza dei dati che potrebbe essere necessario eseguire.

Il piano d'azione consigliato per il GDPR e gli elenchi di controllo di conformità per la responsabilità potrebbero richiedere altri punti di riflessione.

Per soddisfare gli standard GDPR, completare le attività seguenti. Per i dettagli relativi all'implementazione, seguire i collegamenti nell'elenco.

  • Richieste dell'interessato (DSR). Una richiesta formale da un interessato a un titolare di agire (modificare, limitare, accedere) sui dati personali.
  • Notifica di violazione. Ai sensi del GDPR, una violazione dei dati personali è "una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti elaborati".
  • Valutazione dell'impatto sulla protezione dei dati (DPIA). Ai sensi del GDPR, i titolari del trattamento dei dati sono tenuti a preparare una DPIA per le operazioni sui dati che potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

Come accennato in precedenza, il piano d'azione consigliato per gli elenchi di controllo di conformità al GDPR e alla conformità alla responsabilità fornisce una guida all'implementazione o alla valutazione della conformità al GDPR usando prodotti e servizi Microsoft.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del portale di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager ha una valutazione predefinita per questo regolamento per i clienti Enterprise E5. Il modello per realizzare la valutazione è disponibile nella pagina dei modelli di valutazioni di Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Richiesta dell'interessato (DSR)

Il GDPR concede ai singoli (o agli interessati) determinati diritti in relazione al trattamento dei propri dati personali, tra cui il diritto di correggere dati imprecisi, cancellare o limitare il trattamento, ricevere i dati e soddisfare una richiesta di trasmissione dei dati a un altro titolare del trattamento. Il titolare del trattamento è responsabile di fornire una risposta tempestiva e coerente con il GDPR. Per i dettagli tecnici, fare riferimento a Richieste degli interessati.

Domande frequenti sulle richieste degli interessati

Quali azioni completano una richiesta DSR?

Le richieste degli interessati implicano sei attività, ovvero individuazione, accesso, rettifica, limitazione, esportazione ed eliminazione.

Quali sono le origini dati?

Una gran parte dei dati di un'organizzazione proviene da applicazioni di Office come Excel e Outlook. È anche possibile trovare i dati rilevanti per una richiesta DSR in Informazioni dettagliate generate da prodotti e servizi Microsoft e log generati dal sistema.

Quali tipi di dati è necessario cercare?

I dati personali sono disponibili nei dati dei clienti, nelle informazioni dettagliate generate da prodotti e servizi Microsoft e nei log generati dal sistema.

Come viene eseguita la ricerca dei dati personali?

La ricerca di dati personali varia a seconda dei prodotti e dei servizi Microsoft. Gli strumenti di ricerca includono Ricerca contenuto o la funzionalità di ricerca in-app. Gli amministratori possono accedere ai log generati dal sistema associati all'attività di un utente.

In che formato dovrebbero essere resi disponibili i dati personali?

Il "diritto di portabilità dei dati" del GDPR consente a un interessato di richiedere una copia dei dati personali in un "formato strutturato, comunemente usato e leggibile dal computer" e di richiedere che l'organizzazione trasmetta questi file a un altro titolare del trattamento dei dati.

Cosa richiede il GDPR e quali sono le responsabilità del titolare del trattamento?

In base al GDPR, il titolare del trattamento è tenuto a fare quanto segue:

  • Fornire agli interessati una copia dei loro dati personali, insieme a una spiegazione delle categorie dei loro dati che vengono trattati, delle finalità di tale trattamento e delle categorie di terze parti a cui potrebbero essere comunicati i loro dati.
  • Consentire a ogni persona di esercitare il proprio diritto di correggere i dati personali non corretti, di cancellare i dati o di limitarne il trattamento, di ricevere i propri dati in un formato leggibile e, se applicabile, di accogliere una richiesta di trasmissione di tali dati a un altro titolare del trattamento.

Cosa richiede il GDPR e quali sono le responsabilità di Microsoft in quanto responsabile del trattamento dei dati?

Microsoft deve implementare le misure tecniche e organizzative appropriate per aiutare l'utente a rispondere alle richieste degli interessati che esercitano i propri diritti, come illustrato in precedenza.

Dove è possibile trovare informazioni relative al GDPR per server locali?

Qui è disponibile una serie di articoli correlati al GDPR. Sono prodotti da Microsoft e illustrano gli approcci consigliati per il carico di lavoro locale per SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server e condivisioni file locali.

In che modo Microsoft consente di rispondere alle richieste degli interessati?

Online Services offre una serie di funzionalità che consentono al titolare del trattamento di rispondere a una richiesta dell'interessato. I servizi online aziendali Microsoft e i controlli amministrativi consentono di intervenire sui dati personali in risposta alle richieste di esercizio dei diritti degli interessati, consentendo di individuare, accedere, rettificare, limitare, eliminare ed esportare i dati personali inclusi nei dati gestiti dal titolare del trattamento archiviati nel cloud Microsoft. Inoltre, in caso di necessità, Online Services fornisce i dati in un formato leggibile da dispositivo automatico.

Valutazione d'impatto sulla protezione dei dati

In base al GDPR, i titolari del trattamento dei dati devono preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per il trattamento di operazioni che potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Non c'è nulla di intrinseco nei prodotti e nei servizi Microsoft che richiede la creazione di una DPIA. Al contrario, dipende dai dettagli della configurazione Microsoft. È possibile trovare un elenco di dettagli che è necessario prendere in considerazione in Office in Contenuto di DPIA.

Domande frequenti sulla valutazione d'impatto sulla protezione dei dati

Quando dovrebbe essere eseguita una DPIA?

È necessario eseguire una DPIA quando si affrontano i rischi per la sicurezza dei dati personali o a causa di una violazione dei dati. Per esempi specifici di fattori di rischio in Office, vedere Determinare se è necessaria una DPIA.

Cosa è necessario per completare una DPIA?

Secondo il GDPR, una DPIA deve includere quanto segue:

  • Una valutazione della necessità e proporzionalità delle operazioni di trattamento dei dati in relazione agli scopi della DPIA.
  • Una valutazione dei rischi per i diritti e le libertà dell'interessato.
  • Misure previste per risolvere i rischi, garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR.

Quali sono le responsabilità del titolare del trattamento?

In base al GDPR, in qualità di titolare del trattamento, è necessario intraprendere le DPIA prima dell'elaborazione dei dati che potrebbe comportare un rischio elevato per i diritti e le libertà degli individui, in particolare l'elaborazione che usa nuove tecnologie. Il GDPR fornisce il seguente elenco non esaustivo di casi in cui è necessario eseguire DPIA:

  • Elaborazione automatizzata ai fini della profilatura e di attività simili, che ha effetti legali o influisce in modo simile in modo significativo sugli interessati.
  • Trattamento su larga scala di categorie speciali di dati personali - dati che rivelano l'origine razziale o etnica, l'opinione politica e simili - o di dati relativi a condanne e reati penali.
  • Sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il GDPR richiede inoltre di consultare l'autorità per la protezione dei dati prima di iniziare l'elaborazione se non è possibile identificare processi sufficienti per ridurre al minimo i rischi elevati per gli interessati.

Quali sono le responsabilità di Microsoft?

Microsoft aderisce ai principi di "privacy by design" (privacy fin dalla progettazione) e "privacy by default" (privacy per impostazione predefinita) nelle sue attività di business e progettazione. Nell'ambito di queste operazioni, Microsoft esegue controlli completi della privacy sulle operazioni di trattamento dei dati che potrebbero avere un impatto significativo sui diritti e sulle libertà degli interessati. I team per la privacy incorporati nei gruppi di servizi esaminano la progettazione e l'implementazione dei servizi per garantire che i dati personali vengano elaborati in modo rispettoso e conforme al diritto internazionale, alle aspettative degli utenti e agli impegni espressi di Microsoft.

Queste recensioni sulla privacy tendono ad essere granulari: un particolare servizio può ricevere decine o centinaia di recensioni. Questi controlli granulari della privacy confluiscono nelle valutazioni d'impatto sulla protezione dei dati che riguardano le principali categorie di trattamento, che in seguito verranno sottoposte al controllo del Responsabile della protezione dei dati dell'Unione europea di Microsoft. Il Responsabile della protezione dei dati valuta i rischi relativi al trattamento dei dati per verificare che siano disponibili soluzioni sufficienti. Se il DPO rileva rischi non risolti, consiglia di ripristinare le modifiche al gruppo di progettazione. Le DPIA vengono esaminate e aggiornate man mano che cambiano i rischi per la protezione dei dati.

In qualità di responsabile del trattamento dei dati, Microsoft ha il dovere di assistere i titolari del trattamento nel garantire il rispetto dei requisiti relativi alle valutazioni d'impatto sulla protezione dei dati indicati nel GDPR. A questo scopo, le sezioni pertinenti delle valutazioni d'impatto sulla protezione dei dati svolte da Microsoft verranno fornite in questa sezione negli aggiornamenti futuri, per consentire ai titolari del trattamento che usano i servizi Microsoft di sfruttare queste informazioni per creare le proprie valutazioni d'impatto.

Notifica di violazione

Il GDPR imposta i requisiti di notifica per i titolari del trattamento dei dati e i responsabili del trattamento in caso di violazione dei dati personali. In qualità di responsabile del trattamento dei dati, Microsoft aiuta i clienti a soddisfare i requisiti di notifica delle violazioni del GDPR. I titolari del trattamento dei dati sono tenuti a valutare i rischi per la privacy di tali dati e a stabilire se una violazione richieda la notifica all'autorità per la protezione dei dati di un cliente. Microsoft fornisce le informazioni necessarie per eseguire tale valutazione. Per altre informazioni sul modo in cui Microsoft rileva e risponde a una violazione dei dati personali, vedere Notifica di violazione dei dati ai sensi del GDPR.

Domande frequenti sulla notifica di violazione

Cosa costituisce una violazione dei dati personali secondo il GDPR?

Per dati personali si intendono tutte le informazioni relative a un individuo che possono essere utilizzate per identificare tale soggetto direttamente o indirettamente. Una violazione dei dati personali è "una violazione della sicurezza che porta alla distruzione accidentale o illecita, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai dati personali trasmessi, archiviati o altrimenti elaborati".

Quali sono le responsabilità del titolare del trattamento?

Se si verifica una violazione di dati personali che potenzialmente presenta un rischio elevato per i diritti e le libertà delle persone (come discriminazione, furto di identità, frodi, perdite finanziarie o danni alla reputazione), il GDPR richiede di:

  • Notificare all'autorità di protezione dei dati (DPA) appropriata entro 72 ore dal momento in cui ne viene a conoscenza, ad esempio dopo che Microsoft l'ha notificata. Se non si invia una notifica al DPA entro tale periodo di tempo, è necessario spiegare il motivo all'APA. Questa notifica al DPA è necessaria anche quando esiste un rischio per gli individui che probabilmente non comporta un rischio elevato.
  • Informare immediatamente i soggetti dei dati della violazione.
  • Documentare la violazione, inclusa una descrizione della natura della violazione, ad esempio il numero di persone interessate, il numero di record di dati interessati, le conseguenze della violazione e qualsiasi azione correttiva proposta o eseguita dall'organizzazione.

Quali sono le responsabilità di Microsoft in quanto responsabile del trattamento dei dati?

Secondo il GDPR, dopo aver rilevato una violazione dei dati siamo obbligati a informare immediatamente gli interessati. In qualità di responsabile del trattamento dei dati, Microsoft si attiene sia ai requisiti del GDPR, sia alle proprie disposizioni contrattuali standard a livello mondiale. Riteniamo che tutte le violazioni dei dati personali confermate siano nell'ambito di applicazione; non c'è alcun rischio di soglia di danno. Microsoft invia una notifica ai clienti se la violazione dei dati è stata subita direttamente da Microsoft o da uno dei nostri subprocessori. Sono stati eseguiti processi per identificare e contattare rapidamente il personale degli eventi imprevisti di sicurezza identificato nell'organizzazione. Inoltre, tutti i subprocessori sono obbligati contrattualmente a segnalare le proprie violazioni a Microsoft e a fornire garanzie a tale scopo.

Come fa Microsoft a identificare una violazione dei dati?

Tutti i nostri servizi e il nostro personale seguono procedure interne di gestione degli incidenti per garantire che siano adottate precauzioni adatte per evitare violazioni dei dati. Inoltre, gli Online Services dispongono di controlli di sicurezza specifici nelle nostre piattaforme per rilevare le violazioni di dati nei rari casi in cui si verificano.

Come interviene Microsoft in caso di violazione dei dati?

Per supportare l'utente in caso di violazione dei dati personali, Microsoft ha: - Personale addetto alla sicurezza sottoposto a training sulle procedure specifiche da seguire. - Criteri, procedure e controlli in atto per garantire che Microsoft mantenga record dettagliati. Questa risposta include la documentazione che riguarda le circostanze dell'evento, le sue conseguenze e i provvedimenti adottati per porvi rimedio, oltre a monitorare e memorizzare le informazioni nei sistemi di gestione degli incidenti.

In che modo Microsoft mi comunica un'eventuale violazione dei dati?

Microsoft ha predisposto politiche e procedure specifiche per informare immediatamente gli interessati. Per soddisfare i requisiti di notifica per il DPA, forniamo una descrizione del processo usato per determinare se si è verificata una violazione dei dati personali, una descrizione della natura della violazione e una descrizione delle misure adottate per mitigare la violazione.

Elenchi di controllo di preparazione della conformità al GDPR

Questi elenchi di controllo offrono un modo pratico per accedere alle informazioni che potrebbero essere necessarie per supportare il GDPR usando i prodotti Microsoft. È possibile gestire gli elementi dell'elenco di controllo facendo riferimento all'ID controllo e al titolo del controllo in Controlli gestiti dal cliente nel riquadro GDPR usando Microsoft Purview Compliance Manager.

Domande frequenti sul GDPR

Microsoft assume degli impegni nei confronti dei propri clienti per quanto riguarda il GDPR?

Sì. Il GDPR richiede ai controller (ad esempio le organizzazioni che usano i Servizi online aziendali di Microsoft) di usare solo processori (ad esempio Microsoft) che forniscono garanzie sufficienti per soddisfare i requisiti chiave del GDPR. Microsoft fornisce questi impegni in modo proattivo a tutti i clienti con contratti multilicenza nell'ambito dei contratti multilicenza.

In che modo Microsoft mi aiuta ad adeguarmi?

Microsoft offre strumenti e documentazioni utili a rispettare il GDPR. Questo supporto include i diritti dell'interessato, l'esecuzione di valutazioni d'impatto sulla protezione dei dati personali e la collaborazione per risolvere le violazioni dei dati personali.

Quali impegni sono inclusi nelle Condizioni per il GDPR?

Le Condizioni per il GDPR di Microsoft riflettono gli impegni che l'Articolo 28 attribuisce ai responsabili del trattamento. L'articolo 28 prevede che i responsabili del trattamento si impegnino a:

  • Avvalersi esclusivamente di responsabili secondari con il consenso del titolare ed esserne responsabili.
  • Trattare i dati personali esclusivamente in base alle istruzioni del titolare, anche in merito al trasferimento.
  • Assicurarsi che le persone che trattano i dati personali rispettino la riservatezza.
  • Implementare misure tecniche e organizzativa appropriate per garantire un livello di sicurezza dei dati personali idoneo in base al rischio.
  • Aiutare i titolari del trattamento nell'ambito dei loro obblighi di risposta alle richieste degli interessati di esercitare i propri diritti in base al GDPR.
  • Soddisfare i requisiti di assistenza e notifica delle violazioni.
  • Assistere i titolari del trattamento nella realizzazione delle valutazioni d'impatto sulla protezione dei dati e nei rapporti con le autorità garanti.
  • Eliminare o restituire i dati personali alla fine della fornitura dei servizi.
  • Supportare il titolare del trattamento nella dimostrazione della conformità al GDPR.

In che modo Microsoft semplifica il trasferimento dei dati personali al di fuori dell'Unione Europea?

Microsoft utilizza da molto le clausole contrattuali standard (note anche come Clausole modello) come base per il trasferimento dei dati per i propri servizi online aziendali. Le clausole contrattuali Standard sono termini standard forniti dalla Commissione europea che è possibile utilizzare per trasferire dati al di fuori dello Spazio economico europeo in modo conforme. Microsoft ha incorporato le clausole contrattuali Standard in tutti i contratti multilicenza tramite le Condizioni del prodotto. Per i dati personali provenienti dallo Spazio economico europeo, dalla Svizzera e dal Regno Unito, Microsoft garantisce che i trasferimenti di dati personali a un paese/area geografica o a un'organizzazione internazionale siano soggetti a misure di sicurezza appropriate, come descritto nell'articolo 46 del GDPR. Oltre agli impegni di Microsoft nell'ambito delle clausole contrattuali Standard per i responsabili del trattamento e di altri contratti modello, Microsoft continua a rispettare le condizioni del framework privacy Shield, ma non si basa più su di esso come base per il trasferimento dei dati personali dall'UE/SEE al Stati Uniti.

Quali sono le altre offerte di Microsoft per la conformità?

In qualità di azienda globale con clienti in quasi tutti i paesi/aree geografiche del mondo, Microsoft ha un solido portafoglio di conformità per assistere i clienti. Per visualizzare un elenco completo delle offerte di conformità, tra cui FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, Uk G-Cloud e molti altri, visitare gli argomenti relativi all'offerta di conformità.

In che modo il GDPR interesserà la mia azienda?

Il GDPR impone alle organizzazioni che raccolgono o trattano dati personali un'ampia gamma di requisiti, tra cui quello di rispettare sei principi chiave:

  • Trasparenza, correttezza e liceità nel trattamento e nell'utilizzo dei dati personali. È necessario essere chiari con gli utenti sul modo in cui si usano i dati personali e si ha anche bisogno di una "base legale" per elaborare tali dati.
  • Limitare il trattamento dei dati personali a scopi specifici, espliciti e legittimi. Non è possibile riutilizzare o divulgare dati personali per scopi non "compatibili" con lo scopo per cui i dati sono stati raccolti in origine.
  • Ridurre al minimo la raccolta e l'archiviazione dei dati personali solo a ciò che è adeguato e pertinente per lo scopo previsto.
  • Verificare l'accuratezza dei dati personali e consentirne la cancellazione o la rettifica. È necessario adottare misure per assicurarsi che i dati personali in possesso siano accurati e possano essere corretti in caso di errori.
  • Limitare l'archiviazione dei dati personali. È necessario assicurarsi di conservare i dati personali solo per tutto il tempo necessario per raggiungere le finalità per cui sono stati raccolti i dati.
  • Garantire la sicurezza, l'integrità e la riservatezza dei dati personali. L'organizzazione deve adoperarsi per proteggere i dati personali adottando misure tecniche e organizzative adeguate.

È necessario comprendere gli obblighi specifici dell'organizzazione ai sensi del GDPR e il modo in cui verranno soddisfatti. Microsoft è qui per aiutarti nel percorso del GDPR.

Quali diritti devono essere garantiti dalle aziende in base al GDPR?

Il GDPR offre ai residenti dell'Unione Europea il controllo dei propri dati personali attraverso un set di "diritti dell'interessato". Questo set include il diritto a:

  • Accedere alle informazioni sulle modalità di utilizzo dei dati personali.
  • Accedere ai dati personali di cui un'organizzazione è in possesso.
  • Far eliminare o correggere dati personali non corretti.
  • Far modificare e cancellare i dati personali in determinate circostanze (il cosiddetto "diritto all'oblio").
  • Limitare o opporsi al trattamento automatico dei dati personali.
  • Ricevere una copia dei dati personali.

Cosa si intende per responsabili del trattamento e titolari del trattamento?

Un titolare del trattamento è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Un responsabile del trattamento è una persona fisica o giuridica, un'autorità pubblica o altro ente che tratta i dati personali per conto del titolare del trattamento.

Il GDPR si applica ai processori e ai controller?

Sì, si applica a entrambe le figure. I titolari devono servirsi esclusivamente di responsabili che attuano misure per soddisfare i requisiti del GDPR. Ai sensi del GDPR, i responsabili del trattamento hanno compiti aggiuntivi e responsabilità per la mancata conformità o che agiscono al di fuori delle istruzioni fornite dal titolare del trattamento rispetto alla direttiva sulla protezione dei dati. I compiti del processore includono, ma non sono limitati a:

  • Trattamento dei dati solo in base alle istruzioni fornite dal titolare.
  • Attuazione di misure tecniche e organizzative appropriate per proteggere i dati personali.
  • Assistenza al titolare per quanto riguarda le richieste degli interessati.
  • Garanzia che i responsabili secondari a cui si affida soddisfino questi requisiti.

Quali sanzioni possono essere comminate alle aziende per mancata conformità?

Le aziende possono essere multate fino a 20 milioni di euro o al 4% del fatturato globale annuale, a seconda di quale sia maggiore, per non soddisfare determinati requisiti GDPR. Altre azioni di riparazione individuali potrebbero aumentare il rischio in caso di mancato rispetto dei requisiti del GDPR.

L'azienda deve nominare un responsabile della protezione dei dati?

Dipende da diversi fattori identificati all'interno del regolamento. L'articolo 37 del GDPR stabilisce che i titolari del trattamento e i responsabili del trattamento devono designare un responsabile della protezione dei dati in ogni caso in cui: (a) un'autorità o un organismo pubblico, fatta eccezione per i tribunali che agiscono in qualità giudiziaria, esegue il trattamento; (b) le attività principali del titolare del trattamento o del responsabile del trattamento sono costituite da operazioni di trattamento che, in virtù della loro natura, della loro portata o delle loro finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; o (c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie speciali di dati ai sensi dell'articolo 9 e dei dati personali relativi a condanne penali e reati di cui all'articolo 10.

Quanto costerà adeguarsi al GDPR?

La conformità con il GDPR costerà tempo e denaro per la maggior parte delle organizzazioni, anche se potrebbe essere una transizione più fluida per coloro che operano in un modello di servizi cloud ben progettato e hanno un programma di governance dei dati efficace.

Come si fa a sapere se i dati trattati dall'organizzazione rientrano nell'ambito di applicazione del GDPR?

Il GDPR disciplina la raccolta, l'archiviazione, l'utilizzo e la condivisione dei "dati personali". Il GDPR definisce i dati personali in modo ampio come tutti i dati relativi a una persona fisica identificata o identificabile.

I dati personali possono includere, ma non è limitato a, identificatori online (ad esempio, indirizzi IP), informazioni sui dipendenti, database di vendita, dati dei servizi clienti, moduli di feedback dei clienti, dati sulla posizione, dati biometrici, filmati CCTV, record del programma fedeltà, informazioni sanitarie e finanziarie e molto altro ancora. Può anche includere informazioni che non sembrano essere personali, ad esempio una foto di un paesaggio senza persone, in cui un numero di account o un codice univoco collega tali informazioni a un individuo identificabile. E anche i dati personali che si pseudonimi possono essere dati personali se lo pseudonimo può essere collegato a un particolare individuo.

Il trattamento di determinate categorie "speciali" di dati personali, ad esempio i dati personali che rivelano l'origine razziale o etnica di una persona o riguarda la loro salute o orientamento sessuale, è soggetto a regole più rigorose rispetto al trattamento dei dati personali "ordinari". Questa valutazione dei dati personali è altamente specifica dei fatti, quindi rivolgersi a un esperto per valutare le circostanze specifiche.

L'organizzazione sta elaborando i dati solo per conto di altri utenti. Ha ancora bisogno di rispettare il GDPR?

Sì. Anche se le regole possono essere diverse in qualche modo, il GDPR si applica alle organizzazioni che raccolgono e trattano i dati per i propri scopi ("titolari del trattamento") e alle organizzazioni che trattano i dati per conto di altri ("responsabili del trattamento"). Si tratta di un cambiamento rispetto alla Direttiva sulla protezione dei dati esistente, che si applica ai titolari del trattamento.

Cosa si intende nello specifico per dati personali?

Per dati personali si intende qualsiasi informazione riguardante una persona identificata o identificabile. Non esiste alcuna distinzione tra i ruoli privati, pubblici o di lavoro di una persona. I dati personali possono includere:

  • Nome
  • Indirizzo di residenza
  • Indirizzo di lavoro
  • Numero di telefono
  • Numero di cellulare
  • Indirizzo di posta elettronica
  • Numero di passaporto
  • Numero di carta di identità
  • Numero di previdenza sociale (o equivalente)
  • Patente di guida
  • Informazioni fisiche, psicologiche o genetiche
  • Informazioni mediche
  • Identità culturale
  • Dettagli bancari/numeri di conto
  • Codice fiscale
  • Indirizzo di lavoro
  • Numeri di carta di credito/debito
  • Post sui social media
  • Indirizzo IP (area geografica Unione Europea)
  • Posizione/dati GPS
  • Cookies

È consentito trasferire i dati al di fuori dell'Unione Europea?

Sì, tuttavia, il GDPR disciplina rigorosamente i trasferimenti di dati personali dei residenti europei verso destinazioni esterne allo Spazio economico europeo. Potrebbe essere necessario configurare un meccanismo legale specifico, ad esempio un contratto, o rispettare un meccanismo di certificazione per abilitare questi trasferimenti. Microsoft descrive in dettaglio i meccanismi usati nelle Condizioni del prodotto.

Sono previsti requisiti di conservazione dei dati tramite la conformità. Questi requisiti sostituiscono il diritto alla cancellazione?

Se vi sono motivi legittimi per continuare il trattamento e la conservazione dei dati, ad esempio "per il rispetto di un obbligo legale, che richiede il trattamento da parte del diritto dell'Unione o degli Stati membri a cui è soggetto il titolare del trattamento" (articolo 17, paragrafo 3, paragrafo b), il GDPR riconosce che le organizzazioni potrebbero essere tenute a conservare i dati. Tuttavia, assicurati di contattare il tuo consulente legale per assicurarti che i motivi per la conservazione siano confrontati con i diritti e le libertà degli interessati, le loro aspettative al momento della raccolta dei dati e altri fattori pertinenti.

Il GDPR si occupa della crittografia?

Il GDPR identifica la crittografia come misura protettiva che rende i dati personali incomprensibili quando si verifica una violazione. Pertanto, l'uso o meno della crittografia potrebbe influire sui requisiti per la notifica di una violazione dei dati personali. Il GDPR considera inoltre la crittografia come una misura tecnica o organizzativa appropriata in alcuni casi, a seconda del rischio. La crittografia è anche un requisito per la conformità al PCI DSS (Payment Card Industry Data Security Standard) e fa parte delle rigorose linee guida di conformità specifiche del settore dei servizi finanziari. Prodotti e servizi Microsoft, ad esempio Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, database SQL Server/Azure SQL, Windows 10 e Windows 11 offrono una crittografia affidabile per i dati in transito e inattivi.

In che modo il GDPR cambia la risposta di un'organizzazione alle violazioni dei dati personali?

Il GDPR modifica i requisiti di protezione dei dati e prevede obblighi più severi per i responsabili del trattamento e i titolari del trattamento in merito alla comunicazione di violazioni dei dati personali. Ai sensi del nuovo regolamento, il responsabile del trattamento deve notificare al titolare del trattamento dei dati una violazione dei dati personali, dopo essere stato a conoscenza di essa, senza ritardi indebiti. Quando viene a conoscenza di una violazione dei dati personali, il titolare del trattamento è tenuto a informare l'autorità incaricata della protezione dei dati competente entro 72 ore. Se è probabile che la violazione comporti un rischio elevato per i diritti e le libertà degli individui, i titolari del trattamento devono anche notificare le persone interessate senza ritardi indebiti. Ulteriori indicazioni su questo argomento sono in fase di sviluppo da parte del Gruppo dell'articolo 29 per la tutela dei dati dell'Unione Europea.

Prodotti e servizi Microsoft, ad esempio Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 e Windows 10 - sono attualmente disponibili soluzioni che consentono di rilevare e valutare le minacce e le violazioni della sicurezza e di rispettare gli obblighi di notifica delle violazioni del GDPR.

Risorse aggiuntive

  • Last updated on