Notifica di violazione del GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) introduce nuove regole per le organizzazioni che offrono beni e servizi alle persone che risiedono nell'Unione europea (UE) o che raccolgono e analizzano i dati dei residenti nell'UE in qualunque luogo si trovi l'utente o la sua azienda. Altri dettagli sono disponibili nell'argomento relativo al Riepilogo sul GDPR. Questo documento consente di ottenere informazioni sul completamento delle notifiche di violazione secondo il GDPR usando i prodotti e i servizi Microsoft.
Cosa costituisce una violazione dei dati personali secondo il GDPR?
Per dati personali si intendono tutte le informazioni relative a un individuo che possono essere utilizzate per identificare tale soggetto direttamente o indirettamente. Una violazione dei dati personali è una "violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".
Terminologia
Definizioni utili per i termini relativi al GDPR usati nel documento:
- Titolare del trattamento dei dati (titolare): una persona giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o congiuntamente con altri, determina le finalità e le modalità di trattamento dei dati personali.
- Dati personali e interessato: qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente.
- Responsabile: una persona fisica o giuridica, un'autorità pubblica o un altro ente che si occupa del trattamento dei dati personali per conto del titolare.
- Dati dei clienti: dati prodotti e archiviati relativi alle attività quotidiane di gestione della propria attività.
Microsoft e la notifica di violazione
Per Microsoft, il rispetto degli obblighi derivanti dal Regolamento generale sulla protezione dei dati (GDPR) è importante. Per incidente di sicurezza o violazione dei dati si intende un evento come l'accesso illecito o non autorizzato ai dati del cliente archiviati nelle apparecchiature o strutture Microsoft che potrebbe comportare la perdita, la divulgazione o l'alterazione di tali dati.
In qualità di responsabile del trattamento dei dati, Microsoft assicura che i clienti dei servizi riescano a soddisfare i requisiti di notifica della violazione del GDPR in quanto titolari del trattamento dei dati. La notifica contiene le informazioni necessarie per eseguire tale valutazione. Microsoft invia una notifica di violazione dei dati personali ai clienti, fatta eccezione per i casi in cui i dati personali sono indecifrabili, ad esempio i dati con crittografia nei quali l'integrità delle chiavi è confermata.
I titolari del trattamento dei dati sono tenuti a valutare i rischi per la privacy di tali dati e a stabilire se una violazione richieda la notifica all'autorità per la protezione dei dati di un cliente. Microsoft fornisce le informazioni necessarie, insieme ai criteri di conformità del GDPR per eseguire la valutazione.
La notifica iniziale include una descrizione della natura della violazione, l'impatto approssimativo sull’utente e i passaggi per l’attenuazione, se applicabili. Se le nostre indagini non sono complete al momento della notifica iniziale, verranno indicati i passaggi successivi e le sequenze temporali per le comunicazioni seguenti. Per ulteriori informazioni su come Microsoft rileva e interviene a un caso di violazione dei dati personali, vedere Notifica di violazione dei dati secondo il GDPR nel Service Trust Portal.
Di seguito sono indicati i dettagli relativi alla notifica della violazione per specifici prodotti e servizi Microsoft.
-
Microsoft investe considerevolmente in sistemi, processi e personale per ridurre le probabilità di violazione dei dati personali, per rilevare immediatamente eventuali violazioni e attenuarne le conseguenze. Altri dettagli sono disponibili in Investimenti di Office 365 per la sicurezza dei dati.
Nel caso si individui una violazione e si voglia contattare Microsoft, inviare un messaggio al supporto Microsoft che contatterà i team di progettazione per maggiori informazioni.
-
Microsoft ha un servizio globale di risposta per gli eventi imprevisti, attivo 24 ore su 24 e 7 giorni su 7, che lavora per attenuare gli effetti degli attacchi nei confronti di Microsoft Azure e Dynamics 365.
Rilevamento delle violazioni: poiché sia Microsoft che il cliente hanno obblighi nei confronti della sicurezza, i servizi di Azure usano un modello di responsabilità condivisa per definire la sicurezza e le responsabilità operative. Microsoft non monitora o interviene in caso di incidenti di sicurezza nell'ambito della responsabilità del cliente. L’intervento in caso di incidente del cliente può comportare la collaborazione con il supporto clienti di Azure secondo adeguati contratti di servizio. Microsoft Azure offre anche vari servizi (ad esempio, Microsoft Defender per il cloud) che i clienti possono usare per lo sviluppo e la gestione della risposta agli eventi imprevisti di sicurezza.
Per un elenco degli eventi che attivano le indagini sulle violazioni in Microsoft Azure vedere Rilevamento di potenziali violazioni. In Azure e notifica di violazione secondo il GDPR sono disponibili ulteriori dettagli su come Microsoft indaga, gestisce e interviene relativamente agli incidenti di sicurezza all'interno di Azure.
Intervento in caso di violazione dei dati: Microsoft stabilisce adeguati livelli di priorità e gravità di una violazione tramite l’analisi dell'impatto funzionale, la recuperabilità e l'impatto dell’evento sulle informazioni. La priorità e la gravità potrebbero cambiare nel corso dell'indagine in base a nuovi risultati e conclusioni. Il team di intervento in casi di incidenti di sicurezza di Microsoft lavora a stretto contatto con i consulenti legali globali per assicurare che le analisi dei dati vengano eseguite in conformità agli obblighi di legge e agli impegni nei confronti dei clienti. Questi processi sono descritti dettagliatamente in Intervento in caso di violazione dei dati di Azure.
Notifica al cliente: Microsoft Azure invia una notifica al cliente e alle autorità competenti sulle violazioni dei dati come previsto. Le notifiche ai cliente vengono recapitate entro 72 ore dall’identificazione di una violazione tranne nei casi seguenti:
- Microsoft ritiene che l’azione di inviare una notifica possa aumentare il rischio per altri clienti.
- La sequenza temporale di 72 ore potrebbe rendere pubblici alcuni dettagli sull'evento. Questi dettagli verranno forniti nel corso delle indagini.
Ulteriori dettagli sono disponibili in Notifica al cliente.
Servizi professionali e supporto tecnico Microsoft
Data la natura dei servizi professionali, alcuni incidenti di protezione dei dati potrebbero rientrare nell'ambito della responsabilità del cliente. Quando Microsoft Professional Services identifica un evento imprevisto di protezione dei dati, segue un piano di risposta standard del settore documentato, come descritto in Limiti di ambito & del processo di risposta agli eventi imprevisti di protezione dei dati.-
La configurazione del processore di dati di diagnostica Windows sfrutta l'infrastruttura del servizio cloud e le funzionalità di sicurezza predefinite per proteggere i dati. Microsoft dispone di un servizio di risposta agli eventi imprevisti globale 24x7 che consente di attenuare gli effetti degli attacchi contro la configurazione del processore di dati di diagnostica di Microsoft Azure e Windows.
Strumenti di amministratore della notifica di violazione
- Impostare il contatto per la privacy dell'organizzazione: gli amministratori tenant possono usare l'interfaccia di amministrazione Microsoft Entra per definire il contatto per la privacy dell'organizzazione nel caso in cui Microsoft debba comunicare con loro.