Valutazione d'impatto sulla protezione dei dati: Linee guida per i titolari del trattamento dei dati che usano la configurazione del responsabile del trattamento dei dati di diagnostica Windows
Nota
Questo argomento si applica alle edizioni di Windows 10 Enterprise, Pro ed Education, versione 1809 con aggiornamento di luglio 2021 e versioni successive.
Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento sono tenuti a preparare una valutazione dell'impatto sulla protezione dei dati (DPIA) per le operazioni che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Non c'è nulla di intrinseco nella configurazione del responsabile del trattamento dei dati di diagnostica di Windows che richiederebbe necessariamente la creazione di una DPIA da parte di un controller che lo usa. Piuttosto, se è necessaria una DPIA dipende dai dettagli e dal contesto del modo in cui il controller distribuisce, configura e usa la configurazione del processore di dati di diagnostica Windows.
L'obiettivo di questo documento è fornire ai titolari del trattamento dei dati informazioni relative alla configurazione del responsabile del trattamento dei dati di diagnostica Windows per consentire di determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.
Nota
Microsoft non fornisce alcun consiglio legale in questo documento. Questo documento viene fornito esclusivamente per scopi informativi. I clienti sono invitati a collaborare con i propri responsabili del trattamento e consulenti legali per determinare la necessità e il contenuto di qualsiasi DPIA relativa all'uso della configurazione del responsabile del trattamento dei dati di diagnostica Windows o di qualsiasi altro servizio online di Microsoft.
Parte 1: determinare se è necessaria una DPIA
L'articolo 35 del GDPR richiede che un titolare del trattamento crei una valutazione dell'impatto sulla protezione dei dati (DPIA) "[w]qui un tipo di trattamento in particolare utilizzando nuove tecnologie e tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento, potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Definisce inoltre specifici fattori che indicherebbero tale rischio elevato, che vengono trattati nella tabella seguente. Per determinare se è necessaria una DPIA, un titolare del trattamento deve considerare questi fattori, insieme a tutti gli altri fattori rilevanti, alla luce delle implementazioni specifiche del controller e dell'uso o degli usi della configurazione del responsabile del trattamento dei dati di diagnostica Windows.
Tabella 1: Fattori di rischio del responsabile del trattamento dei dati di diagnostica Windows
| Fattore di alto rischio | Informazioni rilevanti sulla configurazione del responsabile del trattamento dei dati di diagnostica Windows |
|---|---|
| Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica. | La configurazione del processore di dati di diagnostica Windows non offre funzionalità per eseguire determinate elaborazioni automatizzate dei dati. Tuttavia, dal momento che altri servizi usano la configurazione del responsabile del trattamento dei dati di diagnostica Windows come origine dati, il titolare del trattamento può potenzialmente configurare tali servizi in modo che siano usati per il trattamento suddetto. I responsabili del trattamento dei dati devono determinare ciò in base all'utilizzo dei servizi che utilizzano i dati di diagnostica raccolti in conformità con la configurazione del responsabile del trattamento dei dati di diagnostica Windows. |
| Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali. | La configurazione del responsabile del trattamento dei dati di diagnostica di Windows non è progettata specificamente per elaborare categorie speciali di dati personali e l'utilizzo della configurazione del responsabile del trattamento dei dati di diagnostica windows non aumenta il rischio intrinseco dell'elaborazione di un titolare del trattamento. Tuttavia, i responsabili del trattamento dei dati potrebbe utilizzare servizi che utilizzano i dati di diagnostica raccolti in conformità con la configurazione del responsabile del trattamento dei dati di diagnostica Windows per elaborare le categorie speciali di dati elencate. I servizi che fanno uso dei dati di diagnostica in conformità con la configurazione del responsabile del trattamento dei dati di diagnostica Windows come origine dati potrebbero permettere al cliente di tenere traccia o trattare in altro modo qualsiasi tipo di dati, incluse le categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento dei dati. |
Parte 2: contenuto di una DPIA
L'articolo 35, comma 7, stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista. Una descrizione sistematica di una DPIA completa potrebbe includere fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui sono localizzati e trasferiti e le terze parti che possono avere accesso a tali dati. La DPIA deve inoltre includere:
- una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà delle persone fisiche;
- misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al presente regolamento, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.
La tabella seguente contiene informazioni sulla configurazione del responsabile del trattamento dei dati di diagnostica Windows pertinenti per ognuno di questi elementi. Come nella Parte 1, i titolari del trattamento devono considerare i dettagli forniti nella tabella, insieme a qualsiasi altro fatto rilevante, alla luce delle implementazioni e degli utilizzi specifici della configurazione del responsabile del trattamento dei dati di diagnostica Windows.
Tabella 2: Elementi DPIA della configurazione del responsabile del trattamento dei dati di diagnostica Windows
| Elemento di una DPIA | Informazioni rilevanti sulla configurazione del responsabile del trattamento dei dati di diagnostica Windows |
|---|---|
| Finalità del trattamento | Le finalità del trattamento dei dati di diagnostica raccolti in conformità con la configurazione del responsabile del trattamento dei dati di diagnostica Windows sono determinate dal titolare del trattamento che implementa, configura e utilizza tale servizio. Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati di diagnostica Windows in base ai termini nelle Condizioni dei prodotti Microsoft. Come descritto in dettaglio nelle Condizioni per i prodotti Microsoft e nel Componente aggiuntivo per la protezione dei dati (DPA, Data Protection Addendum) di Prodotti e servizi Microsoft, Microsoft usa anche i dati personali per supportare un set limitato di operazioni aziendali. Microsoft è il titolare del trattamento dei dati di diagnostica di Windows per queste specifiche operazioni aziendali. In generale, Microsoft aggrega i dati di diagnostica Windows prima di usarli per le operazioni commerciali legittime, eliminando la possibilità di identificare specifici utenti e usando i dati di diagnostica Windows nel formato meno identificabile possibile a supporto dell'elaborazione necessaria per le operazioni commerciali legittime. Microsoft non userà i dati di diagnostica di Windows raccolti quando la configurazione del responsabile del trattamento dei dati di diagnostica di Windows è abilitata o le informazioni derivate da essa per scopi pubblicitari o commerciali simili. |
| Categorie di dati personali trattati | Dati di diagnostica Windows: questi sono composti da dati tecnici fondamentali inviati da dispositivi Windows e relativi al dispositivo e alle prestazioni di Windows e del software correlato. Viene usato per mantenere Windows aggiornato, sicuro, affidabile, performante e per apportare miglioramenti al prodotto. Alcuni esempi di dati di diagnostica Windows sono il tipo di hardware usato, le applicazioni installate con le rispettive condizioni di uso e le informazioni sull'affidabilità nei driver dei dispositivi. Alcuni componenti e app di Windows si connettono direttamente ai servizi Microsoft, ma i dati che scambiano non sono dati di diagnostica di Windows. Ad esempio, lo scambio della posizione di un utente per meteo o notizie locali non è un esempio di dati di diagnostica di Windows. Per altre informazioni sull'elaborazione dei dati quando si usa la configurazione del processore di dati di diagnostica Windows, vedere Configurare i dati di diagnostica di Windows nell'organizzazione e il Centro protezione Microsoft. |
| Conservazione dei dati | Microsoft manterrà ed elaborerà i dati di diagnostica Windows raccolti quando la configurazione del responsabile del trattamento dei dati di diagnostica Windows è abilitata in conformità alle Condizioni dei prodotti Microsoft. Il cliente può eliminare ed esportare i dati di diagnostica Windows ai sensi di una richiesta dell'interessato usando le funzionalità descritte in Configurazione del responsabile del trattamento dei dati di diagnostica Windows relativa al GDPR e al California Consumer Privacy Act (CCPA). |
| Ubicazione e trasferimento dei dati personali | A partire da agosto 2023, per i dispositivi idonei aggiornati con l'aggiornamento cumulativo dell'anteprima di gennaio 2023 o versioni successive, quando è abilitata la configurazione del processore di dati di diagnostica Windows, la posizione viene assegnata automaticamente in base all'indirizzo di fatturazione del tenant Microsoft Entra del cliente. I dispositivi Windows con dati di diagnostica attivati e aggiunti a un tenant Microsoft Entra con indirizzo di fatturazione nel limite dei dati dell'UE verranno registrati automaticamente nella configurazione del responsabile del trattamento dei dati di diagnostica Windows e i dati di diagnostica di Windows raccolti risiedono nei data center in una posizione dell'UE. In caso contrario, i dati di diagnostica di Windows raccolti risiedono o possono essere trasferiti ai data center nel Stati Uniti. |
| Condivisione dati con terze parti | Microsoft potrebbe condividere i dati con terze parti che agiscono come altri responsabili del trattamento dei dati (ovvero terzisti che trattano dati personali) per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni. Tutti i terziari a cui Microsoft trasferisce i dati di diagnostica Windows raccolti in conformità alla configurazione del responsabile dei dati di diagnostica Windows o ai dati di supporto avranno stipulato con Microsoft accordi scritti che non sono meno protettivi rispetto ai termini nelle Condizioni dei prodotti Microsoft. Tutti i terzisti con cui vengono condivisi i dati dei clienti o i dati di diagnostica Windows sono inclusi negli elenchi dei terzisti (consultare la sezione relativa alla limitazione dell'accesso in base ad altri responsabili del trattamento dei dati personali). Le informazioni relative alla risposta di Microsoft alle forze dell'ordine e alle richieste di terze parti per i dati di diagnostica di Windows raccolti in base alla configurazione del responsabile del trattamento dei dati di diagnostica Di Windows e ai dati del supporto si trovano nelle Condizioni del prodotto Microsoft. Salvo divieti legali, Microsoft proverà a reindirizzare le forze dell'ordine o le terze parti direttamente al cliente. |
| Diritti del soggetto interessato | Quando opera come responsabile del trattamento, Microsoft mette a disposizione del cliente (il titolare del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. Microsoft lo fa in modo coerente con la funzionalità del prodotto e con il suo ruolo di responsabile del trattamento dei dati. Se riceviamo una richiesta da parte dell'interessato di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati. La Configurazione del responsabile del trattamento dei dati di diagnostica Windows relativa al GDPR e al California Consumer Privacy Act (CCPA) fornisce una descrizione di come supportare le richieste degli interessati per i dati di diagnostica Windows raccolti in base alla configurazione del responsabile dei dati di diagnostica Windows. |
| Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi | Tale valutazione dipende dalle esigenze e dagli scopi del trattamento del titolare del trattamento. Per quanto riguarda il trattamento effettuato da Microsoft, questo è necessario e proporzionale alle finalità del trattamento stesso indicate nelle Condizioni dei prodotti Microsoft. |
| Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati | I principali rischi per i diritti e le libertà degli interessati derivanti dall'uso dei dati di diagnostica Windows raccolti in conformità con la configurazione del responsabile del trattamento dei dati di diagnostica Windows, dipenderanno da come e in quale contesto il titolare del trattamento implementa, configura e utilizza i dati di diagnostica Windows. I dati di diagnostica Windows raccolti in conformità con la configurazione del responsabile del trattamento dei dati di diagnostica Windows possono essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nelle Condizioni dei prodotti Microsoft. |
| Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi del soggetto dei dati di altre persone | Microsoft si impegna a proteggere la sicurezza dei dati di diagnostica di Windows. Le misure di sicurezza adottate da Microsoft sono descritte nelle Condizioni del prodotto Microsoft. Microsoft adotta misure tecniche e organizzative adeguate e ragionevoli per tutelare i dati personali che elabora. Queste misure includono, a titolo esemplificative, le politiche e le procedure interne sulla privacy, gli impegni contrattuali e le certificazioni standard internazionali e regionali. Maggiori informazioni sono disponibili nella pagina Standard sulla privacy del Centro protezione. Microsoft fornisce ai clienti materiali di sicurezza e privacy significativi e trasparenti che aiutano a spiegare l'uso e l'elaborazione dei dati personali da parte di Microsoft. I clienti sono invitati a contattare Microsoft per eventuali domande. Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record. Quando Microsoft elabora i dati di diagnostica Windows per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati. |
Ulteriori informazioni
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per