Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Servizi professionali Microsoft
Introduzione ai servizi professionali Microsoft
Servizi professionali di Microsoft include un gruppo eterogeneo di architetti, ingegneri, consulenti e professionisti del supporto tecnico dedicato alla realizzazione della mission di Microsoft di consentire ai clienti di fare di più e ottenere di più. Per ulteriori informazioni su Microsoft Professional Services, visitare la pagina relativa all'attendibilità di Microsoft Professional Services.
Per i servizi professionali di Microsoft, il rispetto degli obblighi derivanti dal Regolamento generale sulla protezione dei dati (GDPR) è importante. Le informazioni contenute in questo documento sono progettate per fornire informazioni su come le offerte di supporto e consulenza di Microsoft che i clienti possono usare durante la preparazione delle valutazioni d'impatto sulla protezione dei dati (DPIA) in base al GDPR.
Introduzione alle DPIA
Ai sensi del regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una DPIA per il trattamento di operazioni che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Non c'è nulla di intrinseco in Microsoft Professional Services che richiederebbe necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. Piuttosto, se è necessaria una DPIA dipende dai dettagli e dal contesto del tipo di servizi e dal modo in cui il titolare del trattamento dei dati usa i servizi professionali.
L'obiettivo di questi documenti è di fornire informazioni riguardanti Servizi professionali ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.
Parte 1: determinare se è necessaria una DPIA
L'articolo 35 del GDPR richiede che un titolare del trattamento dei dati crei una valutazione dell'impatto sulla protezione dei dati "[w]in questo caso un tipo di trattamento, in particolare utilizzando nuove tecnologie, e tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento, potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche." Definisce inoltre fattori specifici che indicherebbero un rischio così elevato, come illustrato nella tabella seguente: Per determinare se è necessaria una DPIA, un titolare del trattamento dei dati deve considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle implementazioni specifiche del titolare del trattamento dei dati e dell'uso di Servizi professionali.
Fattore di rischio | Informazioni rilevanti sui Servizi professionali |
---|---|
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su un trattamento automatizzato, tra cui la profilatura, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano in modo analogamente significativo la persona fisica. | Gli esperti di Professional Services eseguono determinati processi di elaborazione automatizzati o di routine, come il supporto per guasti e riparazioni (ad esempio, assistenza ai clienti in caso di guasto al computer), la migrazione degli account e l'analisi delle vulnerabilità del sistema. Le soluzioni di Professional Services, escluso lo sviluppo dei clienti descritte nella nota più avanti in questa tabella, non sono destinate a eseguire l'elaborazione su cui si basano le decisioni che producono effetti legali o simili significativi sui singoli individui. |
Elaborazione su larga scala di 1 di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale ed elaborazione di dati genetici, dati biometrici per lo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali. | I Professional Services non sono destinati ad essere utilizzati in attività che richiedano il trattamento di categorie speciali di dati personali, ad esclusione dello sviluppo per i clienti che sarà trattato nella nota più avanti in questa tabella. Tuttavia, un titolare del trattamento dei dati potrebbe utilizzare soluzioni di consulenza di Professional Services per elaborare le categorie speciali di dati enumerate. Ad esempio, Professional Services offre lo sviluppo di database del settore sanitario che potrebbero essere usati da un titolare del trattamento dei dati per elaborare i dati personali associati a una condizione di integrità. È responsabilità del titolare del trattamento valutare e limitare o documentare l'utilizzo in base alle esigenze. |
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala | I servizi professionali non sono destinati a essere utilizzati in attività che richiedono o facilitano tale monitoraggio, escluso lo sviluppo dei clienti trattato nella nota più avanti in questa tabella. Se un titolare del trattamento dei dati ha usufruito di Professional Services per sviluppare questo tipo di sistema o ha usato i sistemi IT per trattare i dati raccolti tramite tale monitoraggio, sarà responsabilità del titolare, come descritto più avanti nella tabella. |
Nota
1 Rispetto ai criteri per un trattamento su "larga scala", la Considerazione iniziale 91 del GDPR chiarisce che: "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d'impatto sulla protezione dei dati".
[Nota di sviluppo personalizzato] Professional Services offre un'ampia gamma di soluzioni di consulenza. Un titolare del trattamento dei dati potrebbe potenzialmente richiedere una soluzione che, in base ai criteri precedenti, sarebbe una soluzione ad alto rischio. Ad esempio, un titolare del trattamento dei dati può richiedere a Professional Services di creare una soluzione per sviluppare un motore di business intelligence per decisioni di impiego o applicazioni di credito o una soluzione che prevede il rilevamento degli utenti, l'uso specializzato di intelligenza artificiale (AI)/Analytics o l'elaborazione di categorie speciali di dati personali.
All'inizio di un'interazione, gli esperti di Professional Services eseguono processi per valutare e affrontare soluzioni ad alto rischio a cui potrebbe essere richiesto di lavorare. Come parte di questo processo, gli esperti di Professional Services possono richiedere garanzie da parte del titolare del trattamento dei dati sulla conformità al GDPR (ad esempio, i termini contrattuali), un piano per lo sviluppo di una DPIA o altri criteri (ad esempio, le linee guida operative concordate) come richiesto da un responsabile del trattamento dei dati ai sensi del GDPR. Tuttavia, indipendentemente dalle azioni di Microsoft, è responsabilità del titolare del trattamento dei dati sviluppare la DPIA con l'input, se applicabile, dal responsabile del trattamento dei dati del cliente.
Parte 2: contenuto di una DPIA
L'articolo 35, comma 7, stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista. Una descrizione sistematica di una DPIA completa potrebbe includere fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui sono localizzati e trasferiti e le terze parti che possono avere accesso a tali dati. La DPIA deve inoltre includere:
- una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà delle persone fisiche;
- misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al presente regolamento, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.
La tabella seguente contiene informazioni sui Servizi professionali rilevanti per ognuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono prendere in considerazione i dettagli forniti nella tabella, insieme ad altri fattori rilevanti, nel contesto dell'implementazione o delle implementazioni specifiche del titolare del trattamento e dell'uso o degli usi dei servizi professionali.
Elemento di una DPIA | Informazioni rilevanti su Servizi professionali |
---|---|
Finalità del trattamento | Gli scopi dell'elaborazione dei dati utilizzando Servizi professionali sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza. Come specificato da Microsoft Professional Services Data Protection Addendum (MPSDPA), Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati di supporto e consulenza solo per fornire i servizi richiesti al cliente, il titolare del trattamento dei dati. Microsoft non userà i dati di supporto e consulenza o le informazioni derivate da esso per scopi pubblicitari o commerciali simili. |
Gli scopi dell'elaborazione dei dati utilizzando Servizi professionali sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza. | Come specificato da Microsoft Professional Services Data Protection Addendum (MPSDPA), Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati di supporto e consulenza solo per fornire i servizi richiesti al cliente, il titolare del trattamento dei dati. Microsoft non userà i dati di supporto e consulenza o le informazioni derivate da esso per scopi pubblicitari o commerciali simili. |
Categorie di dati personali trattati | Per dati di supporto e consulenza si intendono tutti i dati, inclusi testo, audio, video, file di immagine o software, forniti a Microsoft dal cliente o per conto del cliente (o che il cliente autorizza Microsoft a ottenere da un servizio online) tramite un coinvolgimento con Microsoft per ottenere servizi professionali o supporto tecnico. Ciò può includere informazioni raccolte tramite telefono, chat, posta elettronica o modulo Web. Può includere la descrizione dei problemi, i file trasferiti a Microsoft per risolvere i problemi di supporto, gli strumenti di risoluzione dei problemi automatizzati o l'accesso remoto ai sistemi dei clienti con l'autorizzazione del cliente. I dati dei clienti e del supporto tecnico non includono i dati di fatturazione o contatto del cliente, ad esempio le informazioni sulla sottoscrizione e i dati di pagamento, raccolti ed elaborati da Microsoft in qualità di titolare del trattamento dei dati e che non rientrano nell'ambito di questo documento. |
Conservazione dei dati | Microsoft conserverà i dati relativi al supporto e alla consulenza per la durata dell'interazione del cliente. Inoltre, è previsto un periodo di conservazione dopo la conclusione dell'interazione, al fine di garantire la qualità e la continuità del servizio. Ad esempio, dopo la chiusura di un caso di supporto, i dati vengono normalmente conservati per un determinato periodo, in modo da garantire la possibilità di farvi riferimento se il problema si ripresenta e il caso viene riaperto. Quando Professional Services fornisce supporto, la lunghezza dell'engagement viene definita quando il caso di supporto viene chiuso. Quando Professional Services fornisce servizi di consulenza, la lunghezza dell'impegno è spesso definita dall'ordine di lavoro. In altri casi, la lunghezza dell'engagement è definita dal mantenimento della relazione di business. In tutti i casi, i dati di supporto e consulenza verranno eliminati o restituiti su richiesta o in conformità con le istruzioni del cliente senza ritardi eccessivi utilizzando le funzionalità descritte nella Guida ai diritti dell'interessato di Professional Services. |
Ubicazione e trasferimento dei dati personali | A causa della natura dei servizi professionali, inclusa la necessità di fornire supporto 24 ore su 24, i dati possono essere trasferiti in tutto il mondo. Su richiesta è disponibile un elenco delle località in cui Opera Microsoft. Per i servizi di consulenza, i dati possono essere conservati in-country se accettati all'interno dell'ordine di lavoro. Per i dati personali provenienti dallo Spazio economico europeo, dalla Svizzera e dal Regno Unito, Microsoft garantisce che i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale siano soggetti a misure di sicurezza appropriate come descritto nell'articolo 46 del GDPR. Oltre agli impegni assunti ai sensi delle clausole contrattuali standard per i responsabili del trattamento e altri contratti modello, Microsoft continua a rispettare le condizioni del framework Privacy Shield, ma non si baserà più su di esso come base per il trasferimento dei dati personali dall'Unione Europea/AEE agli Stati Uniti. |
Condivisione dati con terze parti | Microsoft condivide i dati con terze parti che agiscono come altri responsabili del trattamento dei dati per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni. Eventuali subappaltatori a cui Microsoft trasferisce i dati di supporto e consulenza avranno stipulato contratti scritti con Microsoft che non sono meno protettivi rispetto alle condizioni di protezione dei dati dell'MPSDPA. Tutti i subprocessori di terze parti con cui vengono condivisi i dati di supporto e consulenza nell'ambito di MPSDPA sono inclusi nell'elenco dei terzisti del supporto commerciale Microsoft. Microsoft non divulgherà i dati di supporto e consulenza alle forze dell'ordine, a meno che non sia richiesto dalla legge. Se le forze dell'ordine contattano Microsoft con una richiesta di supporto e dati di consulenza, Microsoft tenta di reindirizzare le forze dell'ordine per richiedere i dati direttamente al cliente. Se costretto a divulgare i dati di supporto e consulenza alle forze dell'ordine, Microsoft informerà tempestivamente il cliente e fornirà una copia della richiesta, a meno che non sia legalmente vietato farlo. Al ricevimento di qualsiasi altra richiesta di terze parti per i dati di supporto e consulenza, Microsoft informerà tempestivamente il cliente, a meno che non sia vietato dalla legge. Microsoft rifiuta la richiesta, a meno che non sia richiesto dalla legge per la conformità. Se la richiesta è valida, Microsoft tenta di reindirizzare la terza parte per richiedere i dati direttamente al cliente. |
Diritti dell'interessato | Quando opera come responsabile del trattamento, Microsoft mette a disposizione dei clienti (titolari del trattamento dei dati) i dati personali degli interessati e la possibilità di soddisfare le richieste degli interessati quando esercitano i propri diritti ai sensi del GDPR. Lo facciamo in modo coerente con la funzionalità del prodotto e con il nostro ruolo di responsabile del trattamento. Se riceviamo una richiesta da parte dell'interessato del cliente di esercitare uno o più dei suoi diritti ai sensi del GDPR, reindirizzamo l'interessato per effettuare la sua richiesta direttamente al titolare del trattamento dei dati. La documentazione GDPR delle richieste dell'interessato del trattamento dei dati in Professional Services descrive come il cliente può risolvere gli obblighi relativi ai diritti dei propri interessati del trattamento in Professional Services. |
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi | Tale valutazione dipende dalle esigenze e dagli scopi del trattamento del titolare del trattamento. Per quanto riguarda il trattamento eseguito da Microsoft, tale trattamento è necessario e proporzionale allo scopo di fornire i servizi al titolare del trattamento. Microsoft esegue il commit a questo scopo in MPSDPA. |
Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati | I rischi principali per i diritti e le libertà degli interessati derivanti dall'utilizzo dei Servizi Professionali sono una funzione di come e in quale contesto il titolare del trattamento dei dati implementa, configura e utilizza i servizi professionali e le eventuali soluzioni fornite dai Servizi Professionali. Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate più avanti in questo articolo. |
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi del soggetto dei dati di altre persone. | Microsoft si impegna a proteggere la riservatezza delle informazioni personali dei clienti. Microsoft si impegna a proteggere la sicurezza delle informazioni del cliente. In conformità alle disposizioni dell'articolo 32 del GDPR, Microsoft ha implementato, manterrà e seguirà le misure tecniche e organizzative appropriate volte a proteggere i dati relativi al supporto e alla consulenza da accessi accidentali, non autorizzati o illegali, divulgazione, alterazione, perdita o distruzione. Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record. |