Valutazione dell'impatto sulla protezione dei dati per il GDPR

  • Articolo

Il Regolamento generale sulla protezione dei dati (GDPR) introduce nuove regole per le organizzazioni che offrono beni e servizi alle persone che risiedono nell'Unione europea (UE) o che raccolgono e analizzano i dati dei residenti nell'UE in qualunque luogo si trovi l'utente o la sua azienda. Altri dettagli sono disponibili nell'articolo Riepilogo GDPR. Questo documento illustra le informazioni relative alle valutazioni d’impatto sulla protezione dei dati (DPIA) con il GDPR quando si usano i prodotti e i servizi Microsoft.

Terminologia

Definizioni utili per i termini relativi al GDPR usati nel documento:

  • Titolare del trattamento dei dati (titolare): una persona giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o congiuntamente con altri, determina le finalità e le modalità di trattamento dei dati personali.
  • Dati personali e interessato: qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente.
  • Responsabile: una persona fisica o giuridica, un'autorità pubblica o un altro ente che si occupa del trattamento dei dati personali per conto del titolare.
  • Dati dei clienti: dati prodotti e archiviati nelle attività quotidiane di gestione della propria attività.

Cos’è una DPIA?

Il GDPR richiede che i titolari preparino una valutazione dell'impatto sulla protezione dei dati (DPIA) per le operazioni che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Non c'è nulla di intrinseco nei prodotti e nei servizi Microsoft che richiedono la creazione di una DPIA. Tuttavia, dato che i prodotti e i servizi Microsoft sono altamente personalizzabili, può essere necessaria una DPIA a seconda dei dettagli della configurazione di Microsoft. Microsoft non ha alcun controllo su e quasi nessuna conoscenza in merito a queste informazioni. È necessario che il titolare del trattamento determini il corretto utilizzo dei dati.

Scopri come funziona la DPIA

Le indicazioni DPIA si applicano a Office 365, Azure, Dynamics 365 e al supporto tecnico Microsoft e ai servizi professionali. Tali indicazioni includono le seguenti considerazioni:

Quando è necessaria una DPIA?

Quando si valuta se completare una DPIA devono essere considerati i fattori di rischio elencati di seguito. Altri fattori potenziali e altri dettagli si trovano nella Parte 1 di ogni linea guida.

  • Una valutazione sistematica e approfondita dei dati basata sull'elaborazione automatica.
  • Elaborazione su vasta scala di categorie speciali di dati (dati che rivelano informazioni che identificano in modo unico una persona fisica) o di dati personali relativi a condanne penali o crimini.
  • Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala.

Il GDPR chiarisce che "il trattamento dei dati personali non deve essere considerato su larga scala se il trattamento riguarda i dati personali di pazienti o clienti da parte di un singolo medico, altro professionista sanitario o avvocato. In questi casi, una valutazione dell'impatto sulla protezione dei dati non dovrebbe essere obbligatoria."

Cosa è necessario per completare una DPIA?

Una DPIA deve fornire informazioni specifiche sulle elaborazioni previste, descritte nella Parte 2 delle indicazioni. Tali informazioni includono:

  • Una valutazione della necessità e proporzionalità dell’elaborazione dei dati in relazione agli scopi della DPIA.
  • Una valutazione dei rischi per i diritti e le libertà delle persone fisiche.
  • Misure previste per risolvere i rischi, tra cui garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la conformità con il GDPR.
  • Finalità dell’elaborazione
  • Categorie di dati personali elaborate
  • Conservazione dei dati
  • Ubicazione e trasferimento dei dati personali
  • Condivisione dei dati con terze parti responsabili del trattamento
  • Condivisione dei dati con terze parti indipendenti
  • Diritti del soggetto interessato

Considerazione aggiuntive

Di seguito sono riportati dettagli specifici che possono essere rilevanti per l'implementazione di Microsoft.

  • Office 365: questo documento si applica ad applicazioni e servizi Office 365, tra cui Exchange Online, SharePoint, Viva Engage, Skype for Business e Power BI. Per altre informazioni, vedere le Tabelle 1 e 2.
  • Azure: i clienti sono invitati a collaborare con i responsabili della privacy e il consiglio legale per determinare la necessità e il contenuto di qualsiasi DPIA relativa all'uso di Microsoft Azure.
  • Dynamics 365: il contenuto di una DPIA può variare in base agli strumenti Dynamics 365 usati. Per informazioni dettagliate, fare riferimento alla Parte 2 Contenuti di una DPIA.
  • Windows: il documento si applica alla configurazione del responsabile del trattamento dei dati di diagnostica Windows. I clienti sono invitati a collaborare con i responsabili della privacy e il proprio consulente legale per determinare la necessità e il contenuto di qualsiasi DPIA relativa all'uso della configurazione del responsabile del trattamento dei dati di diagnostica Windows.
  • supporto tecnico Microsoft e servizi professionali: i servizi professionali non eseguono determinati trattamenti di routine o automatizzati dei dati, né sono destinati a elaborare categorie speciali o a eseguire attività che facilitano o richiedono il monitoraggio di dati accessibili pubblicamente. Per informazioni dettagliate, vedere Parte 1: Determinare se è necessaria una DPIA. I titolari devono considerare gli elementi DPIA descritti sopra, insieme ad altri fattori rilevanti, nel contesto delle implementazioni e degli usi specifici dei servizi professionali da parte del titolare. Per informazioni sui servizi professionali, vedere la Parte 2: Contenuti di una DPIA.

Ulteriori informazioni