Richieste degli interessati nell'ambito del GDPR e del CCPA
Il Regolamento generale sulla protezione dei dati (GDPR) introduce nuove regole per le organizzazioni che offrono beni e servizi alle persone che risiedono nell'Unione europea (UE) o che raccolgono e analizzano i dati dei residenti nell'UE in qualunque luogo si trovi l'utente o la sua azienda. Altri dettagli sono disponibili nell'articolo Riepilogo GDPR.
Analogamente, il California Consumer Privacy Act (CCPA) prevede obblighi e diritti in materia di privacy per i consumatori della California, inclusi diritti simili a quelli che il GDPR riconosce all'interessato, ad esempio il diritto di eliminare, ricevere e accedere alle informazioni personali (portabilità). Nell'ambito dei diritti che i consumatori possono esercitare, il CCPA prevede inoltre l'obbligo per determinate divulgazioni, di protezioni contro la discriminazione e requisiti di consenso o rifiuto esplicito per alcuni trasferimenti di dati classificati come "vendite". Questo documento illustra come completare le richieste dell'interessato (DSR) secondo il GDPR e il CCPA usando i prodotti e i servizi Microsoft.
- Office 365
- Azure
- Intune
- Dynamics 365
- Famiglia di prodotti Visual Studio
- Azure DevOps Services
- Servizi professionali e supporto tecnico Microsoft
- Windows
- Windows 365
Terminologia
Definizioni utili per i termini relativi al GDPR usati nel documento:
- Titolare del trattamento dei dati (titolare): una persona giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o congiuntamente con altri, determina le finalità e le modalità di trattamento dei dati personali.
- Dati personali e interessato: qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente.
- Responsabile: una persona fisica o giuridica, un'autorità pubblica o un altro ente che si occupa del trattamento dei dati personali per conto del titolare.
- Dati dei clienti: dati prodotti e archiviati nelle attività quotidiane di gestione della propria attività.
Che cos’è una richiesta dell’interessato?
Il regolamento generale sulla protezione dei dati (GDPR) attribuisce alle persone (definite nel regolamento "soggetti interessati") il diritto di gestire i dati personali raccolti da un datore di lavoro o da un altro tipo di organizzazione o organismo (definito titolare del trattamento dei dati o semplicemente titolare del trattamento). In base al regolamento GDPR, ai soggetti dei dati vengono assegnati diritti specifici per i dati personali, tra i quali il diritto di ottenere copie dei dati personali stessi, richiedere modifiche di tali dati, limitarne l'elaborazione, eliminarli o riceverli in formato elettronico in modo che possano essere trasferiti a un altro titolare.
Il California Consumer Privacy Act (CCPA) prevede obblighi e diritti in materia di privacy per i consumatori della California, inclusi diritti simili a quelli che il GDPR riconosce all'interessato, ad esempio il diritto di eliminare, ricevere e accedere alle informazioni personali (portabilità).
In qualità di titolare del trattamento, è necessario prendere in considerazione tempestivamente ogni richiesta DSR e fornire una risposta sostanziale eseguendo l'azione richiesta o fornendo una spiegazione del motivo per cui il DSR non può essere ospitato dal controller. Un titolare deve rivolgersi al proprio consulente legale o alla conformità relativamente all'idoneità di qualsiasi richiesta dell’interessato specifica.
Nel completamento di una richiesta dell'interessato possono essere coinvolti diversi processi, a seconda delle regole di conformità al GDPR dell'organizzazione.
- Individuazione. Il processo di determinazione dei dati necessari per completare una richiesta dell’interessato.
- Accesso. Il recupero e la potenziale trasmissione al soggetto interessato delle informazioni individuate.
- Rettifica. Implementare le modifiche o altre modifiche ai dati personali richieste.
- Restrizione. Modificare l'accesso o l'elaborazione dei dati personali limitando l'accesso o rimuovendo i dati dal cloud Microsoft.
- Esportazione. Fornire i dati personali all'interessato in un "formato strutturato, di uso comune e leggibile da dispositivo automatico", come previsto dal "diritto alla portabilità dei dati" del GDPR.
- Eliminazione. Rimozione definitiva dei dati personali da Microsoft Cloud.
Considerazioni specifiche sulle richieste dell’interessato
Informazioni dettagliate generate da prodotti o servizi Microsoft
Le informazioni dettagliate possono essere generate dai servizi (Viva Personal Insights e così via) Office 365 include Servizi online che forniscono informazioni dettagliate agli utenti e alle organizzazioni che li usano. I dati generati da questi servizi possono produrre dati personali pertinenti a una richiesta dell’interessato. Seguire il collegamento nell'elenco riportato di seguito per informazioni dettagliate sui processi delle richieste specifici del servizio.
Richieste dell’interessato per i log generati dal sistema
I log e i dati correlati generati da Microsoft possono contenere dati considerati personali ai sensi della definizione di "dati personali" del GDPR. La limitazione o la rettifica dei dati nei log generati dal sistema non è supportata. I dati nei log generati dal sistema costituiscono le azioni effettive eseguite nel cloud Microsoft e i dati di diagnostica e le modifiche a tali dati possono compromettere il record cronologico delle azioni, aumentando i rischi per la sicurezza e di truffe. Microsoft consente di accedere, esportare ed eliminare i log generati dal sistema che potrebbero essere necessari per completare una richiesta dell’interessato. Tra questi tipi di dati rientrano:
- Dati di utilizzo di prodotti e servizi, ad esempio log di attività dell'utente
- Richieste di ricerca degli utenti e dati della query
- Dati generati da prodotti e servizi, come risultato della funzionalità del sistema e dell'interazione da parte di utenti o di altri sistemi.
Viva Engage
L'eliminazione dell'account di un utente non rimuove i log generati dal sistema per Viva Engage. Per rimuovere i dati da queste applicazioni, fare riferimento a una delle seguenti risorse:
Cloud nazionali
In alcuni cloud nazionali, un amministratore IT globale deve eliminare i log generati dal sistema.
Servizi Microsoft
Se l'organizzazione o gli utenti interagiscono con Microsoft per ricevere, il supporto relativo ai prodotti e ai servizi Microsoft può contenere dati personali. Per altre informazioni, vedere Richieste dell’interessato per il GDPR relative ai servizi professionali e al supporto tecnico Microsoft.
Prodotti con titolare Microsoft
In alcune situazioni, gli utenti dell'organizzazione possono accedere a prodotti o ai servizi Microsoft per cui Microsoft è il titolare del trattamento dei dati. In questi casi, è necessario che gli utenti rivolgano le proprie richieste direttamente a Microsoft, e Microsoft soddisferà le richieste per l'utente direttamente.
Prodotti di terze parti
Per i prodotti e i servizi di terze parti a cui è stato eseguito l'accesso tramite l'autenticazione con l'account Microsoft, tutte le richieste dell’interessato devono essere rivolte alla terza parte competente.
Strumenti di amministrazione delle richieste dell'interessato
- Portali Microsoft: esportare dati creati o generati dall'utente usando il portale di Microsoft Purview, il Portale di conformità di Microsoft Purview o usando le funzionalità nell'applicazione.
- Microsoft Entra Amministrazione Center: eliminare un interessato da Microsoft Entra ID e dai servizi correlati usando Microsoft Entra Amministrazione Center.
- Esportazione log di dati Microsoft: i log generati dal sistema possono essere esportati dagli amministratori tenant utilizzando la funzionalità di esportazione log di dati Microsoft.