Condividi tramite


Valutazioni d'impatto sulla protezione dei dati: indicazioni per i titolari del trattamento dei dati che usano Dynamics 365 e Power Platform

Il Regolamento generale sulla protezione dei dati (GDPR) prevede che i titolari del trattamento preparino una valutazione dell'impatto sulla protezione dei dati (DPIA) per i trattamenti che "possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Non c'è nulla di intrinseco in Dynamics 365 e Power Platform che richiederebbe necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. Piuttosto, se è necessaria una DPIA dipenderà dai dettagli e dal contesto del modo in cui il titolare del trattamento dei dati distribuisce, configura e usa Dynamics 365 o Power Platform. In ogni caso, una DPIA dovrebbe iniziare nella fase iniziale di un progetto ed essere eseguita in parallelo al processo di pianificazione e sviluppo.

Lo scopo di questo documento è fornire ai titolari del trattamento dei dati informazioni su Dynamics 365 e Power Platform che consentono di determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.

Nota

Microsoft non fornisce alcun consiglio legale in questo articolo. Questo articolo viene fornito esclusivamente per scopi informativi. I clienti sono invitati a collaborare con i propri responsabili della privacy (e/o responsabile della protezione dei dati (DPO) se designati) e/o consulenti legali e/o consulenti per determinare la necessità e il contenuto di qualsiasi DPIA correlato all'uso di Microsoft Dynamics 365, Power Platform o qualsiasi altro servizio online Microsoft.

Parte 1: determinare se è necessaria una DPIA

L'articolo 35 del GDPR richiede che un titolare del trattamento dei dati crei una valutazione dell'impatto sulla protezione dei dati "[w]in questo caso un tipo di trattamento, in particolare utilizzando nuove tecnologie, e tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento, potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche." Definisce inoltre fattori specifici che indicherebbero un rischio elevato, illustrati nella tabella seguente: per determinare se è necessaria una DPIA, un titolare del trattamento dei dati deve considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle implementazioni specifiche del titolare del trattamento e dell'uso di Dynamics 365 e Power Platform.

Fattore di rischio Informazioni rilevanti su Dynamics 365 e Power Platform
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su un trattamento automatizzato, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano in modo analogamente significativo la persona fisica. Alcuni servizi Dynamics 365 e Power Platform eseguono determinate elaborazioni automatizzate dei dati, ad esempio il punteggio di lead o opportunità (ad esempio, stimando la probabilità che si verifichi una vendita). Tuttavia, i servizi Dynamics 365 e Power Platform non sono progettati per eseguire l'elaborazione su cui si basano le decisioni che producono effetti legali o simili significativi sui singoli individui.

Tuttavia, poiché Dynamics 365 e Power Platform sono servizi altamente personalizzabili, un titolare del trattamento dei dati potrebbe potenzialmente configurarli per l'uso per tale elaborazione. I titolari del trattamento dei dati devono effettuare questa determinazione in base all'utilizzo di Dynamics 365 e Power Platform.
Trattamento su larga scala 1 di categorie speciali di dati (dati personali che rivelano l'origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche o appartenenza a sindacati, trattamento di dati genetici, dati biometrici utilizzati per identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica), o di dati personali relativi a condanne penali e reati; Dynamics 365 e i servizi Power Platform non sono progettati per elaborare categorie speciali di dati personali su larga scala.

Tuttavia, un titolare del trattamento dei dati potrebbe usare Dynamics 365 e Power Platform per elaborare le categorie speciali di dati enumerate. Inoltre, Dynamics 365 e Power Platform è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo i dati personali, incluse categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né, solitamente, alcuna conoscenza di tale utilizzo.
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala Dynamics 365 e Power Platform non sono progettati per condurre o facilitare tale monitoraggio su larga scala.

Tuttavia, un titolare del trattamento dei dati potrebbe utilizzarlo per elaborare i dati raccolti attraverso tale monitoraggio. Dynamics 365 e Power Platform sono servizi altamente personalizzabili che consentono al cliente di tenere traccia o elaborare in altro modo qualsiasi tipo di dati, inclusi i dati di monitoraggio. In qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo su tale uso e ha poche o nessuna informazione su tale uso. È inclumbent sul titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento dei dati.

Nota

1 Rispetto ai criteri per un trattamento su "larga scala", la Considerazione iniziale 91 del GDPR chiarisce che: "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d'impatto sulla protezione dei dati".

Parte 2: contenuto di una DPIA

L'articolo 35, paragrafo 7, del GDPR impone che una valutazione dell'impatto sulla protezione dei dati specifichi le finalità del trattamento e una descrizione sistematica del trattamento previsto. Una descrizione sistematica in una DPIA completa può includere fattori quali i tipi di dati elaborati, la durata della conservazione dei dati, la posizione e il trasferimento dei dati e quali terze parti possono avere accesso ai dati. Idealmente, un diagramma del flusso di dati supporta la descrizione. La DPIA deve inoltre includere:

  • Una valutazione della necessità e della proporzionale delle operazioni di trattamento in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà delle persone fisiche; E
  • Le misure utilizzate per affrontare i rischi, tra cui misure di sicurezza, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR tenendo conto dei diritti e degli interessi legittimi degli interessati e di altre persone interessate.

La tabella seguente contiene informazioni su Dynamics 365 e Power Platform rilevanti per ognuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono prendere in considerazione i dettagli forniti di seguito, insieme ad altri fattori rilevanti, nel contesto delle implementazioni specifiche del titolare del trattamento dei dati e dell'uso di Dynamics 365 o Power Platform.

Elementi di una DPIA Informazioni rilevanti su Dynamics 365 e Power Platform
Finalità dell'elaborazione Gli scopi dell'elaborazione dei dati tramite Dynamics 365 e Power Platform sono determinati dal titolare del trattamento che lo implementa, configura e usa.

Come specificato dalle Condizioni del prodotto e dal Componente aggiuntivo per la protezione dei dati (DPA, Data Protection Addendum) di Prodotti e servizi Microsoft, Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti per fornire al cliente i servizi online in base alle istruzioni documentate del cliente.

Come descritto in termini di prodotto e prodotti e servizi Data Protection Addendum (DPA), Microsoft usa anche i dati personali per supportare un set limitato di operazioni aziendali.

Microsoft è responsabile del trattamento dei dati personali per supportare queste specifiche operazioni aziendali. In genere, Microsoft aggrega i dati personali prima di usarli per le operazioni aziendali, rimuovendo la capacità di Microsoft di identificare individui specifici. Microsoft usa i dati personali nel formato meno identificabile che supporterà l'elaborazione necessaria per le operazioni aziendali.

Microsoft non userà i dati dei clienti o le informazioni derivate da esso per profilatura o per scopi pubblicitari o commerciali simili.

Dynamics 365 è una piattaforma online per l'elaborazione che presenta diversi Servizi online discreti, ognuno dei quali ha scopi distinti di elaborazione. È possibile trovare le descrizioni di ogni offerta di servizio Dynamics 365 qui e dell'offerta del servizio Power Platform qui.

Dynamics 365 e Power Platform elaborano i dati personali solo per fornire ai clienti i propri Servizi online, inclusi gli scopi compatibili con la fornitura di tali servizi.
Categorie di dati personali trattati Dati dei clienti: tutti i dati, inclusi i file di testo, audio, video o immagine e il software, forniti dai clienti a Microsoft o forniti per conto dei clienti tramite l'uso di Microsoft Servizi online. Includono i dati caricati dai clienti per l’archiviazione o l'elaborazione, oltre alle personalizzazioni.

Dati generati dal servizio: dati generati da Microsoft quando si gestisce un servizio, ad esempio dati di utilizzo o prestazioni. La maggior parte di questi dati contiene identificatori pseudonimi generati da Microsoft.

Dati dei servizi professionali: tutti i dati, inclusi tutti i file di testo, audio, video, immagine o software forniti a Microsoft dal cliente o per conto del cliente (o che il cliente autorizza Microsoft a ottenere da un prodotto) o altrimenti ottenuti o elaborati da o per conto di Microsoft tramite un impegno con Microsoft per ottenere i Servizi professionali.

Per altre informazioni sui dati elaborati da Dynamics 365 e Power Platform, vederel'addendum per la protezione dei dati dei prodotti e dei servizi Microsoft.
Conservazione dei dati Microsoft manterrà i dati del cliente per la durata del diritto del cliente di utilizzare il servizio, fino a quando tutti i dati del cliente non vengono eliminati o restituiti in base alle istruzioni del cliente o alle condizioni del prodotto Condizioni e prodotti e servizi Data Protection Addendum (DPA). Durante il periodo di sottoscrizione del cliente, il cliente avrà la possibilità di accedere ed estrarre i dati dei clienti archiviati in ogni servizio online. Microsoft conserva in genere i dati dei clienti archiviati nel servizio online in un account per funzioni limitate per 90 giorni dopo la scadenza o la chiusura della sottoscrizione del cliente in modo che il cliente possa estrarre i dati. Al termine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati del cliente.

Il cliente può eliminare i dati dei clienti e i dati pseudonimi in qualsiasi momento usando le funzionalità descritte nella Guida ai diritti dell'interessato di Dynamics 365 e Power Platform.
Ubicazione e trasferimento dei dati personali I clienti hanno la possibilità di effettuare il provisioning dei dati dei clienti inattivi all'interno di aree geografiche specificate, soggette a determinate eccezioni come indicato nell'addendum per la protezione dei dati (DPA) di Prodotti e servizi. Per altre informazioni sulle distribuzioni dei servizi e la residenza dei dati, visitare il Centro protezione Microsoft e un articolo Dynamics 365 e Power Platform sulla posizione e la disponibilità dei dati in Dynamics 365 disponibilità e posizioni dei dati e sulla disponibilità internazionale di Microsoft Power Platform.

Per i dati personali trasferiti all'esterno dello Spazio economico europeo, della Svizzera e del Regno Unito, Microsoft garantirà che i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale siano soggetti alle misure di sicurezza appropriate come descritto nell'articolo 46 del GDPR. Oltre agli impegni di Microsoft ai sensi delle clausole contrattuali standard per i responsabili del trattamento e di altri contratti modello, Microsoft continua a rispettare le condizioni del Framework per la privacy dei dati.
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità dell'elaborazione.

Microsoft adotta misure quali l'aggregazione dei dati personali usati da Microsoft per supportare le operazioni aziendali per supportare la fornitura dei servizi, riducendo al minimo il rischio di tale trattamento per gli interessati che utilizzano il servizio.

Per quanto riguarda il trattamento effettuato da Microsoft, tale trattamento è necessario e proporzionale per fornire i servizi al titolare del trattamento dei dati.
Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Dynamics 365 o Power Platform dipenderanno da come e in quale contesto il titolare del trattamento dei dati implementa, configura e usa.

Microsoft adotta misure quali l'aggregazione dei dati personali quando viene usato per supportare le operazioni aziendali, riducendo il rischio di tale trattamento per gli interessati che utilizzano il servizio.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate di seguito.
Condivisione dei dati con terze parti responsabili del trattamento Microsoft condivide i dati con terze parti che fungono da subprocessori (come definito nel GDPR) per supportare funzioni come il supporto tecnico e del cliente, la manutenzione dei servizi e altre operazioni. Tutti i subprocessori a cui Microsoft trasferisce i dati dei clienti, i dati del supporto tecnico o i dati personali avranno stipulato contratti scritti con Microsoft che non sono meno protettivi dei termini contenuti nell'addendum per la protezione dei dati (DPA) dei prodotti e dei prodotti. Tutti i terzisti sub-responsabili del trattamento del trattamento con cui sono condivisi i dati del cliente dei Servizi Online Core di Microsoft sono inclusi nell'elenco dei subappaltatori dei servizi online.
Diritti del soggetto interessato Quando opera come responsabile del trattamento, Microsoft mette a disposizione dei clienti (titolari del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. Microsoft esegue questa operazione in modo coerente con la funzionalità del prodotto e con il ruolo di responsabile del trattamento.  Se Microsoft riceve una richiesta da parte degli interessati del cliente di esercitare uno o più dei propri diritti ai sensi del GDPR, l'interessato viene reindirizzato per effettuare la richiesta direttamente al titolare del trattamento dei dati.

Per informazioni sui titolari del trattamento dei dati su come supportare i diritti degli interessati tramite le funzionalità di Dynamics 365 e Power Platform, vedere la guida Dynamics 365 e Power Platform Data Subject Requests.

Microsoft aggrega in genere i dati personali prima di usarli per le operazioni aziendali e non è in grado di identificare i dati personali per un individuo specifico nell'aggregazione. In questo modo si riduce il rischio per la privacy per l'individuo. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento.
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone Microsoft si impegna a proteggere la sicurezza dei dati dei clienti. Le misure di sicurezza adottate da Microsoft sono descritte in dettaglio nelle Condizioni del prodotto.

Microsoft rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all'avanguardia. Microsoft sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce. Altre informazioni sulle procedure di governance e privacy del cloud sono disponibili nella pagina Gestione della conformità nel cloud del Centro protezione .

Microsoft adotta misure tecniche e organizzative adeguate e ragionevoli per tutelare i dati personali che elabora. Queste misure includono, a titolo esemplificative, le politiche e le procedure interne sulla privacy, gli impegni contrattuali e le certificazioni standard internazionali e regionali. Altre informazioni sono disponibili nella pagina Privacy del Centro protezione.

Per un elenco dettagliato dei controlli gestiti da Microsoft (controlli dei processi tecnici e aziendali) per la sicurezza implementata da Dynamics 365 e Power Platform, visitare il portale di trust dei servizi. Inoltre, quando Microsoft agisce come responsabile del trattamento dei dati, è conforme a tutti gli altri obblighi GDPR che si applicano ai responsabili del trattamento dei dati.

Quando Microsoft elabora i dati personali per le proprie operazioni aziendali, è conforme agli obblighi gdpr che si applicano ai titolari del trattamento dei dati.

Ulteriori informazioni