Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft Azure

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per il trattamento di operazioni che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Non esiste alcun elemento intrinseco in Microsoft Azure che richieda necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. La necessità di una DPIA dipenderà piuttosto dai dettagli e dal contesto relativo alle modalità con cui il titolare del trattamento dei dati distribuisce, configura e usa Microsoft Azure. In ogni caso, una DPIA dovrebbe iniziare nella fase iniziale di un progetto ed essere eseguita in parallelo al processo di pianificazione e sviluppo.

L'obiettivo di questi documenti è di fornire informazioni riguardanti Microsoft Azure ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.

Nota

Microsoft non fornisce alcun consiglio legale in questo articolo. Questo articolo viene fornito esclusivamente per scopi informativi. I clienti sono invitati a collaborare con i propri responsabili della privacy, e/o responsabili della protezione dei dati (DPO), ove designati, e/o consulenti anche legali per determinare la necessità e il contenuto di eventuali DPIA relative all'uso di Microsoft Azure o di qualsiasi altro servizio online Microsoft.

Parte 1: determinare se è necessaria una DPIA

L'articolo 35 del RGPD prevede che un titolare del trattamento dei dati crei una valutazione d'impatto sulla protezione dei dati (DPIA) "laddove un tipo di elaborazione, in particolare utilizzando le nuove tecnologie e tenendo conto della natura, della portata, del contesto e delle finalità dell'elaborazione, rischi di comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Stabilisce, inoltre, particolari fattori che indicherebbero un rischio così elevato, i quali sono discussi nella seguente tabella. Per determinare se sia necessaria una DPIA, un titolare del trattamento dei dati dovrebbe considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle specifiche implementazioni e degli usi di Microsoft Azure da parte del titolare del trattamento dei dati.

Fattore di rischio elevato Informazioni rilevanti su Microsoft Azure
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica. Microsoft Azure non fornisce funzionalità per eseguire determinate elaborazioni automatizzate di dati.

Tuttavia, poiché Azure è un servizio altamente personalizzabile, un titolare del trattamento dei dati potrebbe potenzialmente configurarlo per l'uso per tale elaborazione. I controller devono effettuare questa determinazione in base all'utilizzo di Azure.
Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici per identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali. Microsoft Azure non è progettato per elaborare categorie speciali di dati personali e l'utilizzo di Azure non aumenta il rischio intrinseco dell'elaborazione di un titolare del trattamento dei dati.

Tuttavia, un titolare del trattamento dei dati potrebbe usare Microsoft Azure per elaborare le categorie speciali di dati enumerate. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo qualsiasi tipo di dati, incluse categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala. Microsoft Azure non è progettato per condurre o facilitare tale monitoraggio.

Tuttavia, un titolare del trattamento dei dati potrebbe usare Azure per elaborare i dati raccolti tramite tale monitoraggio. Microsoft Azure è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo qualsiasi tipo di dati, inclusi i dati di monitoraggio. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento.

Parte 2: contenuto di una DPIA

L'articolo 35, comma 7, stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista. Una descrizione sistematica di una DPIA completa potrebbe includere fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui sono localizzati e trasferiti e le terze parti che possono avere accesso a tali dati. La DPIA deve inoltre includere:

  • Una valutazione della necessità e della proporzionale delle operazioni di trattamento in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà delle persone fisiche; E
  • Le misure previste per affrontare i rischi, tra cui misure di sicurezza, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare il rispetto del presente regolamento tenendo conto dei diritti e degli interessi legittimi degli interessati e di altre persone interessate.

La tabella seguente contiene informazioni su Microsoft Azure rilevanti per ognuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono prendere in considerazione i dettagli forniti nella tabella, insieme a tutti gli altri fattori rilevanti, nel contesto delle implementazioni e degli usi specifici del titolare del trattamento di Microsoft Azure.

Elemento di una DPIA Informazioni rilevanti su Microsoft Azure
Scopi dell'elaborazione Gli scopi dell'elaborazione dei dati utilizzando Microsoft Azure sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza.

Come specificato da Product Terms and Products and Services Data Protection Addendum (DPA), Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti per fornire al cliente i servizi online in base alle istruzioni documentate del cliente.

Come descritto in dettaglio nel DPA ( Product Terms andProducts and Services Data Protection Addendum) standard, Microsoft usa anche i dati personali per supportare un set limitato di operazioni aziendali legittime costituite da: (1) fatturazione e gestione degli account; (2) compensazione (ad esempio, calcolo delle commissioni dei dipendenti e degli incentivi per i partner); (3) creazione di report interni e modellazione (ad esempio, previsione, ricavi, pianificazione della capacità, strategia del prodotto); (4) combattere le frodi, la criminalità informatica o gli attacchi informatici che possono influire sui prodotti Microsoft o Microsoft; (5) migliorare la funzionalità di base dell'accessibilità, della privacy o dell'efficienza energetica; e (6) rendicontazione finanziaria e conformità agli obblighi legali (soggetti alle limitazioni sulla divulgazione dei dati dei clienti descritte nelle Condizioni per il servizio online).

Microsoft è il titolare del trattamento dei dati personali a supporto di queste specifiche operazioni commerciali legittime. In generale, Microsoft aggrega i dati personali prima di usarli per le operazioni commerciali legittime, eliminando la possibilità di identificare specifici utenti e usando i dati personali nel formato meno identificabile possibile a supporto dell'elaborazione necessaria per le operazioni commerciali legittime.

Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili.
Categorie di dati personali trattati *Dati dei clienti: tutti i dati, compresi file di testo, audio, video o immagini e software, forniti a Microsoft da un cliente o per suo conto attraverso l'uso dei servizi aziendali. I dati dei clienti includono (1) informazioni che consentono l'identificazione personale degli utenti finali (ad esempio, nomi utente e informazioni di contatto in Azure Active Directory) e contenuti per i clienti che un cliente stesso carica o crea in servizi specifici (ad esempio, contenuti per i clienti in un account di archiviazione di Azure, contenuti per i clienti in un database SQL di Azure o un'immagine della macchina virtuale di un cliente in Macchine virtuali di Azure).

*Dati generati dal servizio: i log e i dati correlati generati da Microsoft che consentono a Microsoft di offrire servizi aziendali agli utenti. I log generati dal servizio contengono principalmente dati pseudonimizzati, associati a identificatori univoci generati dal sistema, che non possono identificare individualmente una singola persona ma sono usati per fornire servizi aziendali agli utenti. I log generati dal servizio possono anche contenere informazioni identificabili riguardanti gli utenti finali, ad esempio un nome utente.

*Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a ottenere da un Servizio online) attraverso un impegno con Microsoft per ottenere supporto tecnico per i servizi online.

Per altre informazioni sui dati elaborati da Azure, vedere le Condizioni del prodotto, inclusi il Contratto per l'elaborazione dati e il Centro protezione Microsoft.

Conservazione dei dati Microsoft conserva ed elabora i dati dei clienti durante il diritto del cliente di utilizzare il servizio online e fino a quando tutti i dati del cliente non vengono recuperati dal cliente o eliminati in conformità con le condizioni del Prodotto Condizioni e Prodotti e Servizi Data Protection Addendum (DPA). Per tutta la durata dell'abbonamento, il cliente potrà accedere ed estrarre i dati archiviati in ogni servizio online. Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati. Il cliente può eliminare i dati personali in base a una richiesta dell'interessato usando le funzionalità descritte nella documentazione del GDPR relativa alle richieste dell'interessato in Azure.
Ubicazione e trasferimento dei dati personali I clienti hanno la possibilità di effettuare il provisioning dei dati dei clienti inattivi all'interno di aree geografiche specificate, soggette a determinate eccezioni, come indicato nell'addendum per la protezione dei dati (DPA) dei prodotti e dei prodotti del prodotto. Altri dettagli relativi alle distribuzioni dei servizi e alla residenza dei dati sono disponibili anche nel Componente aggiuntivo per la protezione dei dati Microsoft (DPA) per le Condizioni del prodotto e nella pagina Web Infrastruttura globale di Azure .

Per i dati personali dello Spazio economico europeo, della Svizzera e del Regno Unito, Microsoft garantirà che i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale siano soggetti a garanzie appropriate, secondo quanto descritto nell'articolo 46 del GDPR. Oltre agli impegni assunti ai sensi delle clausole contrattuali standard per i responsabili del trattamento e altri contratti modello, Microsoft continua a rispettare le condizioni del framework Privacy Shield, ma non si baserà più su di esso come base per il trasferimento dei dati personali dall'Unione Europea/AEE agli Stati Uniti.
Condivisione dei dati con terze parti responsabili del trattamento Microsoft condivide i dati con terze parti che agiscono come altri responsabili del trattamento dei dati per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni. Eventuali subappaltatori a cui Microsoft trasferisce i dati dei clienti, i dati del supporto tecnico o i dati personali avranno stipulato contratti scritti con Microsoft che non sono meno protettivi delle Condizioni per la protezione dei dati delle Condizioni del prodotto. Tutti i terzisti sotto-responsabili del trattamento con cui sono condivisi i dati del cliente dei Servizi Online Core di Microsoft sono inclusi nell'elenco dei subfornitori dei servizi online. Tutti i terzisti sotto-responsabili del trattamento che potrebbero avere accesso ai dati del supporto (compresi i dati del cliente che i clienti scelgono di condividere durante le loro interazioni con il supporto) sono inclusi nell'elenco dei fornitori di supporto commerciale di Microsoft. 
Diritti del soggetto interessato Quando opera come responsabile del trattamento, Microsoft mette a disposizione del cliente (noto anche come titolare del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. Microsoft lo fa in modo coerente con la funzionalità del prodotto e con il suo ruolo di responsabile del trattamento dei dati.  Se riceviamo una richiesta da parte dell'interessato di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati.

La Guida per le richieste degli interessati del trattamento dei dati in Azure fornisce una descrizione per il titolare del trattamento dei dati su come supportare i diritti degli interessati usando le funzionalità di Azure.

Le richieste da parte di un soggetto interessato di esercitare diritti ai sensi del GDPR per i dati personali elaborati per supportare i processi aziendali legittimi devono essere indirizzate a Microsoft, come chiarito nell'Informativa sulla privacy microsoft.

Microsoft generalmente aggrega i dati personali prima di usarli per le proprie operazioni commerciali legittime e non è in grado di identificare i dati personali per un individuo specifico nell'aggregazione. Questa azione riduce significativamente i rischi per la privacy di ogni singolo utente. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento.

La documentazione RGPD della richiesta dell'interessato in Azure descrive come supportare i diritti degli interessati utilizzando le funzionalità in Azure.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità dell'elaborazione.

Microsoft adotta misure quali l'anonimizzazione o l'aggregazione dei dati personali che utilizza a supporto di operazioni commerciali legittime per supportare l'erogazione dei servizi, minimizzando il rischio del trattamento per i soggetti interessati che si avvalgono del servizio.

Per quanto riguarda il trattamento effettuato da Microsoft, tale trattamento è necessario e proporzionale per fornire i servizi al titolare del trattamento dei dati. Microsoft si impegna in questo senso nelle Condizioni del prodotto.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Microsoft Azure dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nelle Condizioni del prodotto, come descritto più avanti in questo articolo.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone Microsoft si impegna a proteggere la sicurezza dei dati dei clienti. Le misure di sicurezza adottate da Microsoft sono descritte in dettaglio nelle Condizioni del prodotto.

Microsoft rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all'avanguardia. Microsoft sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce. Altre informazioni sulle procedure di governance e privacy del cloud sono disponibili nella pagina Privacy sulla governance & del cloud del Centro protezione .

Microsoft adotta misure tecniche e organizzative adeguate e ragionevoli per tutelare i dati personali che elabora. Tali misure includono, a titolo esemplificativo e non esaustivo, criteri e procedure di privacy interni, impegni contrattuali e certificazioni per standard locali e internazionali. Maggiori informazioni sono disponibili nella pagina Standard sulla privacy del Centro protezione.

Microsoft fornisce materiale significativo e trasparente per la sicurezza e la privacy per i clienti per spiegare l'uso e l'elaborazione dei dati personali da parte di Microsoft. I clienti sono invitati a contattare Microsoft per eventuali domande.

Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record.

Quando Microsoft elabora i dati personali per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati.

Ulteriori informazioni