Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft Office 365
Ai sensi del regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per le operazioni di trattamento che potrebbero ‘comportare un alto rischio per i diritti e le libertà delle persone fisiche’. Nessuna delle caratteristiche intrinseche di Microsoft Office 365 richiede necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo utilizza. Piuttosto, la necessità di una DPIA dipenderà dai dettagli e dal contesto di come il titolare del trattamento dei dati distribuisce, configura e utilizza Office 365.
Nella parte 1 di questo documento sono disponibili informazioni su Office 365, che consentono di determinare se è necessario un DPIA. Se la risposta è sì, le parti 2 e 3 del documento forniscono le informazioni chiave di Microsoft che possono essere utili per la bozza. In particolare, la parte 2 fornisce le risposte applicabili a tutti i servizi di Office 365 per ognuno degli elementi necessari di un DPIA. La parte 3 include altre informazioni specifiche relative al prodotto per fornire le informazione più rilevanti ai clienti ai fini della stesura di DPIA. La parte 3 include anche un documento DPIA esplicativo che può essere scaricato e modificato in modo da semplificare la stesura del DPIA.
Le applicazioni e i servizi di Office 365 includono, ma non si limitano a, Exchange Online, SharePoint Online, OneDrive for business, Yammer e Microsoft Teams. Un elenco di servizi disponibili più completo tramite Office 365 può essere visualizzato nelle tabelle 1 e 2 della Guida alle richieste dell’interessato per Office 365.
Parte 1: determinare se è necessaria una DPIA
L'articolo 35 del RGPD prevede che un titolare del trattamento dei dati crei una valutazione d'impatto sulla protezione dei dati "laddove un tipo di trattamento, in particolare utilizzando le nuove tecnologie e tenendo conto della natura, della portata, del contesto e delle finalità del trattamento stesso, rischi di comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Stabilisce, inoltre, particolari fattori che indicherebbero un rischio così elevato, i quali sono discussi nella seguente tabella. Nel determinare se sia necessaria una DPIA, il titolare del trattamento dei dati dovrebbe considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle specifiche implementazioni e degli usi di Office 365 da parte del titolare del trattamento dei dati.
| Fattore di rischio | Informazioni rilevanti su Office 365 |
|---|---|
| Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica. | A seconda della configurazione del titolare del trattamento dei dati, Office 365 potrebbe eseguire determinate attività di trattamento automatizzato dei dati, ad esempio l'analisi eseguita da Workplace Analytics, che consente al titolare del trattamento dei dati di ricavare informazioni dettagliate su come le persone collaborano all'interno di un'organizzazione in base a informazioni delle intestazioni del calendario e della posta elettronica dalle cassette postali dell'utente. Office 365 non è progettato per l'esecuzione automatica del trattamento come base per decisioni che producono effetti legali o altrettanto significativi sugli individui. Tuttavia, poiché Office 365 è un servizio ampiamente personalizzabile, un titolare del trattamento dei dati potrebbe potenzialmente usarlo per tale trattamento. |
| Elaborazione su larga scala di 1 di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale ed elaborazione di dati genetici, dati biometrici per lo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali | Office 365 non è progettato specificamente per trattare categorie speciali di dati personali. Tuttavia, un titolare del trattamento di dati potrebbe utilizzare Office 365 per trattare le categorie speciali di dati elencate. Office 365 è un servizio altamente personalizzabile che consente al cliente di tracciare o trattare in altro modo qualsiasi tipo di dati, comprese le categorie speciali di dati personali. Un uso di questo tipo è rilevante per la decisione del titolare del trattamento della necessità o meno di un DPIA. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né, solitamente, alcuna conoscenza di tale utilizzo. |
| Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala | Office 365 non è progettato per condurre o facilitare tale monitoraggio. Tuttavia, un titolare del trattamento dei dati potrebbe utilizzarlo per elaborare i dati raccolti attraverso tale monitoraggio. |
Nota
1 Rispetto ai criteri per un trattamento su “larga scala”, la Considerazione iniziale 91 del GDPR illustra che: "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d'impatto sulla protezione dei dati".
Parte 2: contenuto di una DPIA
L'articolo 35, comma 7 del GDPR stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista. Nelle DPIA di Microsoft, tale descrizione sistematica include fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui si trovano e le terze parti che potrebbero avere accesso a tali dati. Inoltre, la DPIA deve includere:
- una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà delle persone fisiche;
- misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al regolamento generale sulla protezione dei dati, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.
La tabella seguente contiene informazioni importanti da parte di Microsoft che semplificano la creazione della bozza della DPIA. Contiene informazioni su Office 365 rilevanti per ognuno degli elementi necessari per una DPIA. Come nella Parte 1, i titolari del trattamento dei dati sono tenuti a tenere in considerazione i dettagli riportati di seguito, oltre ai dettagli delle loro implementazioni e usi specifici di Office 365.
| Fattori di rischio | Informazioni rilevanti su Office 365 |
|---|---|
| Finalità del trattamento | Le finalità del trattamento dei dati con Office 365 sono determinate dal titolare del trattamento dei dati che lo implementa, configura e utilizza. Come specificato dalle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali, Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti solo per fornire i Servizi Online al cliente, in conformità con le istruzioni documentate del cliente. Come descritto dettagliatamente nelle Condizioni dei servizi online e dall'Addendum relativo alla protezione dei dati personali standard, Microsoft usa i dati personali anche per supportare un set limitato di operazioni commerciali legittime, costituite da: (1) gestione della fatturazione e dell'account; (2) retribuzioni (ad esempio, calcolo di commissioni per i dipendenti e incentivi per i partner); (3) creazione di report e modellazione interni (ad esempio previsione, ricavi, pianificazione della capacità, strategia di prodotto); (4) combattere frodi, crimini informatici o attacchi informatici che possono influire sui prodotti Microsoft o su Microsoft; (5) migliorare le funzionalità principali di accessibilità, privacy o efficienza energetica; e (6) creazione di relazioni finanziarie e conformità con gli obblighi legali (fatte salve le limitazioni sulla divulgazione dei dati dei clienti descritte nelle Condizioni dei servizi online). Microsoft è il titolare del trattamento dei dati personali a supporto di queste specifiche operazioni commerciali legittime. In generale, Microsoft aggrega i dati personali prima di usarli per le operazioni commerciali legittime, eliminando la possibilità di identificare specifici utenti e usando i dati personali nel formato meno identificabile possibile a supporto dell'elaborazione necessaria per le operazioni commerciali legittime. Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili. |
| Categorie di dati personali trattati | Dati dei clienti: si tratta di tutti i dati, inclusi testi, audio, video o file di immagini e software, che i clienti forniscono a Microsoft o che vengono forniti per conto dei clienti attraverso l'uso dei servizi online Microsoft. Includono i dati caricati dai clienti per l’archiviazione o l'elaborazione, oltre alle personalizzazioni. Esempi di dati dei clienti elaborati in Office 365 includono il contenuto della posta elettronica in Exchange Online e i documenti o i file archiviati in SharePoint Online o in OneDrive for Business. Dati generati dal servizio: si tratta di dati generati o derivati da Microsoft tramite il funzionamento del servizio, come i dati sull'utilizzo o le prestazioni. La maggior parte di questi dati contiene identificatori pseudonimi generati da Microsoft. Dati di diagnostica: questi dati vengono raccolti o ottenuti da Microsoft da software che è installato localmente dal cliente in relazione al servizio online e possono essere anche indicati come dati di telemetria. Questi dati vengono in genere identificati da attributi del software installato localmente o del computer che esegue il software. Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a richiedere a un servizio online) attraverso un'interazione con Microsoft per ottenere supporto tecnico per i servizi online. I dati dei clienti, i dati del log generato dal sistema e i dati di supporto non includono i dati dell'amministratore e di dati di fatturazione, come le informazioni di contatto dell'amministratore del cliente, le informazioni di sottoscrizione e i dati di pagamento, che Microsoft raccoglie ed elabora in qualità di titolare del trattamento dei dati e che non rientrano nell’ambito del presente documento. |
| Conservazione dei dati | Dati dei clienti: come stabilito nelle Condizioni per la protezione dei dati contenute nelle Condizioni dei servizi online, Microsoft avrà a disposizione i dati del cliente per la durata del diritto del cliente a usare il servizio e fino a che tutti i dati del cliente saranno eliminati o restituiti secondo le istruzioni del cliente o le Condizioni per l'Utilizzo dei Servizi Online. In ogni momento durante il periodo di abbonamento, il cliente avrà la possibilità di accedere, estrarre ed eliminare i dati del cliente archiviati nel servizio, soggetti in alcuni casi a specifiche funzionalità del prodotto allo scopo di ridurre il rischio di eliminazione accidentale (ad esempio, la cartella di elementi recuperati di Exchange), come descritto ulteriormente nella documentazione del prodotto. Ad eccezione delle prove gratuite e dei servizi di LinkedIn, Microsoft conserverà i dati dei clienti memorizzati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine della sottoscrizione del cliente, in modo che il cliente possa estrarre i dati. Alla fine del periodo di conservazione di 90 giorni, Microsoft disattiverà l'account del cliente ed eliminerà i suoi dati. Dati generati dal servizio: questi dati vengono conservati per un periodo predefinito che va fino a 180 giorni dalla raccolta, soggetto a periodi di conservazione maggiori ove necessario per la sicurezza dei servizi o per rispettare obblighi legali o normativi. Per ulteriori informazioni sulle funzionalità di servizi che consentono al cliente di eliminare i dati personali conservati nel servizio in qualsiasi momento, vedere la Guida per le richieste degli interessati del trattamento dei dati in Office 365. |
| Ubicazione e trasferimento dei dati personali | Secondo quanto descritto nell'Allegato 1 delle Condizioni per l'Utilizzo dei Servizi Online, se il cliente effettua il provisioning della sua istanza di Office 365 in Australia, Canada, Unione Europea, Francia, India, Giappone, Corea del Sud, Regno Unito o negli Stati Uniti, Microsoft archivierà i seguenti dati inattivi del cliente solo all'interno di tale posizione: (1) il contenuto delle cassette postali di Exchange Online (corpo del messaggio, voci di calendario e il contenuto di allegati di posta elettronica), (2) il contenuto del sito di SharePoint Online e i file archiviati in quel sito, (3) i file caricati in OneDrive for Business e (4) il contenuto di progetti caricati in Project Online. Per i dati personali dello Spazio economico europeo, della Svizzera e del Regno Unito, Microsoft garantirà che i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale siano soggetti a garanzie appropriate, secondo quanto descritto nell'articolo 46 del GDPR. Oltre agli impegni assunti ai sensi delle clausole contrattuali standard per i responsabili del trattamento e altri contratti modello, Microsoft continua a rispettare le condizioni del framework Privacy Shield, ma non si baserà più su di esso come base per il trasferimento dei dati personali dall'Unione Europea/AEE agli Stati Uniti. |
| Condivisione dei dati con terze parti responsabili del trattamento | Microsoft condivide i dati con terze parti che agiscono come sotto-responsabili per le funzioni di supporto quali assistenza clienti e tecnica, manutenzione servizi e altre operazioni. Tutti i terzisti ai quali Microsoft trasferisce i dati del cliente, di supporto o personali avranno stipulato accordi scritti con Microsoft che non sono meno protettivi delle Condizioni per la protezione dei dati contenuti nelle Condizioni dei servizi online. Tutti i terzisti sotto-responsabili del trattamento con cui sono condivisi i dati del cliente dei servizi online di base di Microsoft sono inclusi nell'elenco dei subfornitori dei servizi online. Tutti i terzisti sotto-responsabili del trattamento che potrebbero avere accesso ai dati del supporto (compresi i dati del cliente che i clienti scelgono di condividere durante le loro interazioni con il supporto) sono inclusi nell’elenco dei fornitori di supporto commerciale di Microsoft. |
| Condivisione dei dati con terze parti indipendenti | Alcuni prodotti di Office 365 includono opzioni di estendibilità che consentono, a scelta del titolare del trattamento, la condivisione dei dati con terzisti indipendenti. Ad esempio, Exchange Online è una piattaforma estendibile che consente l’integrazione di componenti aggiuntivi o connettori di terze parti con Outlook per estenderne il set di funzionalità. Questi provider terzisti di componenti aggiuntivi o connettori agiscono indipendentemente da Microsoft e i loro componenti aggiuntivi o connettori devono essere attivati dagli utenti o amministratori dell'organizzazione, che eseguono l'autenticazione con il proprio account del componente aggiuntivo o connettore. Microsoft non divulgherà i dati del cliente o i dati del supporto alle forze dell'ordine, a meno che non sia richiesto dalla legge. Se le forze dell'ordine contattano Microsoft richiedendo i dati del cliente o i dati del supporto, Microsoft tenterà di reindirizzare le forze dell'ordine a richiedere tali dati direttamente al cliente. Se obbligato a rivelare i dati del cliente o i dati del supporto alle forze dell'ordine, Microsoft informerà tempestivamente il cliente e fornirà una copia della richiesta, salvo divieto. Al ricevimento di qualsiasi altra richiesta da parte di terzi di dati dei clienti o dei dati di supporto, Microsoft informerà tempestivamente il cliente a meno che non sia proibito dalla legge. Microsoft rifiuterà la richiesta a meno che non sia legalmente tenuto a farlo. Se la richiesta è valida, Microsoft tenterà di reindirizzare la terza parte a richiedere i dati direttamente al cliente. |
| Diritti del soggetto interessato | Quando opera come responsabile del trattamento, Microsoft mette a disposizione dei clienti (i titolari del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. Lo facciamo in modo coerente con la funzionalità del prodotto e con il nostro ruolo di responsabile del trattamento. Se riceviamo una richiesta da parte degli interessati di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati. La Guida per le richieste degli interessati del trattamento dei dati in Office 365 fornisce una descrizione per il titolare del trattamento dei dati su come promuovere i diritti degli interessati del trattamento dei dati utilizzando le funzionalità di Office 365. Le richieste dell'interessato per l'esercizio di diritti nell'ambito del GDPR per i dati personali elaborati a supporto di processi aziendali legittimi devono essere dirette a Microsoft, come indicato nell'Informativa sulla privacy di Microsoft. Microsoft generalmente aggrega i dati personali prima di usarli per le proprie operazioni commerciali legittime e non è in grado di identificare i dati personali per un individuo specifico nell'aggregazione. Ciò riduce significativamente i rischi per la privacy di ogni singolo utente. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento. |
| Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi | Tale valutazione dipenderà dalle esigenze del titolare del trattamento dei dati e dalle finalità del trattamento. Per quanto riguarda il trattamento eseguito da Microsoft, tale trattamento è necessario e proporzionale allo scopo di fornire i servizi al titolare del trattamento. |
| Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati | I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Office 365 dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza. Microsoft adotta misure quali l'anonimizzazione o l'aggregazione dei dati personali che utilizza a supporto di operazioni commerciali legittime per supportare l'erogazione dei servizi, minimizzando il rischio del trattamento per i soggetti interessati che si avvalgono del servizio. Tuttavia, come per gli altri servizi, i dati personali conservati nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nelle sezioni seguenti. |
| Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone | Microsoft si impegna a proteggere la sicurezza delle informazioni del cliente. In conformità alle disposizioni dell'articolo 32 del GDPR, Microsoft ha implementato, manterrà e seguirà le misure tecniche e organizzative appropriate volte a proteggere i dati dei clienti e i dati di supporto da accessi accidentali, non autorizzati o illegali, divulgazione, alterazione, perdita o distruzione. Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record. Quando Microsoft elabora i dati personali per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati. |
Parte 3: la DPIA sono fastidiosi, ma possono essere utili
Se l'organizzazione ha bisogno di una bozza di DPIA, le informazioni in questa sezione sono pensate per semplificare il processo.
Contenuto della sezione:
- sono disponibili gli elementi del servizio rilevanti di Office 365 e informazioni specifiche del prodotto e
- è disponibile un modello di modello DPIA vuoto che può essere scaricato, modificato e usato per la stesura di un DPIA personalizzato.
Matrice di elementi del servizio DPIA
La matrice di elementi del servizio DPIA è un'organizzazione di contenuto che può essere utile quando si avvia il processo di documentazione del DPIA. È organizzata in base al servizio e fornisce informazioni specifiche relative al prodotto e collegamenti a documenti che possono essere utili per creare più facilmente risposte reattive agli elementi di DPIA necessari.
Documento di DPIA personalizzabile
Ci rendiamo conto che la stesura di DPIA può essere un'impresa che richiede molto tempo. Anche se i DPIA di ogni cliente variano in base al modo in cui ogni organizzazione configura e usa Office 365, il documento seguente aiuta a risparmiare tempo. È possibile scaricare il documento di DPIA personalizzabile come modello esplicativo modificabile e iniziare subito a usarlo. È possibile usarlo e adattarlo alla specifica implementazione del servizio. Il documento non deve essere inteso come consiglio legale fornito da Microsoft o da una qualsiasi delle relative consociate. Per qualsiasi domanda relativa al processo di stesura di DPIA, è necessario consultare il proprio legale.