Valutazioni d'impatto sulla protezione dei dati: guida per i titolari del trattamento dei dati che utilizzano Microsoft Office 365
Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d'impatto sulla protezione dei dati (DPIA) per il trattamento di operazioni che "potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche". Non c'è nulla di intrinseco in Microsoft Office 365 che richiederebbe necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. Piuttosto, se è necessaria una DPIA dipenderà dai dettagli e dal contesto del modo in cui il titolare del trattamento dei dati distribuisce, configura e usa Office 365.
Nella parte 1 di questo documento sono disponibili informazioni su Office 365, che consentono di determinare se è necessario un DPIA. Se la risposta è sì, le parti 2 e 3 del documento forniscono le informazioni chiave di Microsoft che possono essere utili per la bozza. In particolare, la parte 2 fornisce le risposte applicabili a tutti i servizi di Office 365 per ognuno degli elementi necessari di un DPIA. La parte 3 include altre informazioni specifiche relative al prodotto per fornire le informazione più rilevanti ai clienti ai fini della stesura di DPIA. La parte 3 include anche un documento DPIA esplicativo che può essere scaricato e modificato in modo da semplificare la stesura del DPIA.
Office 365 applicazioni e servizi includono, a titolo esemplificazionale, Exchange Online, SharePoint, OneDrive for work and school, Viva Engage e Microsoft Teams. Un elenco di servizi disponibili più completo tramite Office 365 può essere visualizzato nelle tabelle 1 e 2 della Guida alle richieste dell’interessato per Office 365.
Parte 1: determinare se è necessaria una DPIA
L'articolo 35 del GDPR richiede che un titolare del trattamento dei dati crei una valutazione dell'impatto sulla protezione dei dati ‘allorché un tipo di trattamento prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche’. Definisce inoltre specifici fattori che indicherebbero tale rischio elevato, che vengono trattati nella tabella seguente. Per determinare se è necessaria una DPIA, un titolare del trattamento dei dati deve considerare questi fattori, insieme ad altri fattori pertinenti, alla luce delle implementazioni e degli utilizzi specifici di Office 365.
Fattore di rischio | Informazioni rilevanti su Office 365 |
---|---|
Una valutazione sistematica e approfondita degli aspetti personali relativi alle persone fisiche che si basa su una elaborazione automatizzata, tra cui la profilatura e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano analogamente in modo significativo la persona fisica. | A seconda della configurazione del titolare del trattamento dei dati, Office 365 può eseguire un determinato trattamento automatizzato dei dati, ad esempio l'analisi eseguita da Viva Personal Insights che consente al titolare del trattamento dei dati di derivare informazioni dettagliate sul modo in cui le persone collaborano all'interno di un'organizzazione in base alle informazioni di posta elettronica e intestazione del calendario dalle cassette postali dell'utente. Office 365 non è progettato per l'esecuzione automatica del trattamento come base per decisioni che producono effetti legali o altrettanto significativi sugli individui. Tuttavia, poiché Office 365 è un servizio ampiamente personalizzabile, un titolare del trattamento dei dati potrebbe potenzialmente usarlo per tale trattamento. |
Elaborazione su larga scala di 1 di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale ed elaborazione di dati genetici, dati biometrici per lo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali | Office 365 non è progettato per elaborare categorie speciali di dati personali su larga scala. Tuttavia, un titolare del trattamento dei dati potrebbe usare Office 365 per trattare le categorie speciali di dati elencate. Office 365 è un servizio altamente personalizzabile che consente al cliente di tracciare o trattare in altro modo qualsiasi tipo di dati, comprese le categorie speciali di dati personali. Un uso di questo tipo è rilevante per la decisione del titolare del trattamento della necessità o meno di una DPIA. Tuttavia, in qualità di responsabile del trattamento dei dati, Microsoft non ha alcun controllo né, solitamente, alcuna conoscenza di tale utilizzo. |
Monitoraggio sistematico di un'area pubblicamente accessibile su vasta scala | Office 365 non è progettato per condurre o facilitare tale monitoraggio. Tuttavia, un titolare del trattamento dei dati potrebbe utilizzarlo per elaborare i dati raccolti attraverso tale monitoraggio. |
Nota
1 Rispetto ai criteri per un trattamento su "larga scala", la Considerazione iniziale 91 del GDPR chiarisce che: "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d'impatto sulla protezione dei dati".
Parte 2: contenuto di una DPIA
L'articolo 35, comma 7del GDPR stabilisce che una valutazione dell'impatto sulla protezione dei dati dovrà specificare le finalità del trattamento e una descrizione sistematica del trattamento prevista. Nelle DPIA di Microsoft, tale descrizione sistematica include fattori quali i tipi di dati trattati, per quanto tempo i dati possono essere conservati, i luoghi in cui si trovano e le terze parti che potrebbero avere accesso a tali dati. La DPIA deve inoltre includere:
- una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà delle persone fisiche;
- misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al regolamento generale sulla protezione dei dati, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone.
La tabella seguente contiene informazioni chiave di Microsoft che possono essere utili per la stesura di DPIA. Sono disponibili informazioni su Office 365 rilevanti per ogni elemento di DPIA. Come nella Parte 1, i titolari del trattamento dei dati sono tenuti a tenere in considerazione i dettagli riportati di seguito, oltre ai dettagli delle loro implementazioni e usi specifici di Office 365.
Fattori di rischio | Informazioni rilevanti su Office 365 |
---|---|
Finalità del trattamento | Le finalità del trattamento dei dati con Office 365 sono determinate dal titolare del trattamento dei dati che lo implementa, configura e utilizza. Come specificato dalle Condizioni del prodotto e dal Componente aggiuntivo per la protezione dei dati (DPA, Data Protection Addendum) di Prodotti e servizi Microsoft, Microsoft, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti per fornire al cliente i servizi online in base alle istruzioni documentate del cliente. Come descritto in dettaglio nelle Condizioni del prodotto standard e nel Componente aggiuntivo per la protezione dei dati (DPA, Data Protection Addendum) dei prodotti e dei servizi Microsoft, Microsoft usa anche i dati personali per supportare un set limitato di operazioni aziendali legittime costituite da: (1) fatturazione e gestione degli account; (2) compensazione (ad esempio, calcolo delle commissioni dei dipendenti e degli incentivi per i partner); (3) creazione di report interni e modellazione (ad esempio, previsione, ricavi, pianificazione della capacità, strategia del prodotto); (4) rendicontazione finanziaria e conformità agli obblighi di legge (soggetti alle limitazioni sulla divulgazione dei dati dei clienti descritte nell'addendum sulle condizioni del prodotto e sulla protezione dei dati). Microsoft accetta l'obbligo di un titolare del trattamento dei dati personali di supportare queste specifiche operazioni aziendali legittime. Microsoft aggrega i dati personali prima di usarli per le operazioni aziendali legittime, rimuovendo la capacità di Microsoft di identificare individui specifici e usando i dati personali nel formato meno identificabile che supporterà l'elaborazione necessaria per le operazioni aziendali legittime. Microsoft non utilizzerà i dati dei clienti o le informazioni da essi derivanti a scopi di profilazione, pubblicitari o simili. |
Categorie di dati personali trattati |
Dati dei clienti: si tratta di tutti i dati, inclusi testi, audio, video o file di immagini e software, che i clienti forniscono a Microsoft o che vengono forniti per conto dei clienti attraverso l'uso dei servizi online Microsoft. Includono i dati caricati dai clienti per l’archiviazione o l'elaborazione, oltre alle personalizzazioni. Esempi di dati dei clienti elaborati in Office 365 includono contenuto di posta elettronica in Exchange Online e documenti o file archiviati in SharePoint o OneDrive per l'azienda e l'istituto di istruzione. Dati generati dal servizio: si tratta di dati generati o derivati da Microsoft tramite il funzionamento del servizio, come i dati sull'utilizzo o le prestazioni. La maggior parte di questi dati contiene identificatori pseudonimi generati da Microsoft. Dati di diagnostica: questi dati vengono raccolti o ottenuti da Microsoft da software che è installato localmente dal cliente in relazione al servizio online e possono essere anche indicati come dati di telemetria. Questi dati vengono in genere identificati da attributi del software installato localmente o del computer che esegue il software. Dati di supporto: si tratta di dati forniti a Microsoft da o per conto del cliente (o che il cliente autorizza Microsoft a richiedere a un servizio online) attraverso un'interazione con Microsoft per ottenere supporto tecnico per i servizi online. I dati dei clienti, i dati del log generato dal sistema e i dati di supporto non includono i dati dell'amministratore e di dati di fatturazione, come le informazioni di contatto dell'amministratore del cliente, le informazioni di sottoscrizione e i dati di pagamento, che Microsoft raccoglie ed elabora in qualità di titolare del trattamento dei dati e che non rientrano nell’ambito del presente documento. |
Conservazione dei dati |
Dati cliente: Come indicato nelle Condizioni per la protezione dei dati nell'addendum relativo alle condizioni per la protezione dei dati del prodotto e alla protezione dei dati, Microsoft conserva i dati dei clienti per la durata del diritto del cliente di utilizzare il servizio e fino a quando tutti i dati del cliente non vengono eliminati o restituiti in base alle istruzioni del cliente o alle condizioni del prodotto e del componente aggiuntivo per la protezione dei dati. In qualsiasi momento durante il periodo della sottoscrizione del cliente, il cliente ha la possibilità di accedere, estrarre ed eliminare i dati del cliente archiviati nel servizio, soggetti in alcuni casi a funzionalità specifiche del prodotto destinate a mitigare il rischio di eliminazione accidentale (ad esempio, la cartella degli elementi ripristinati di Exchange), come descritto più avanti nella documentazione del prodotto. Ad eccezione delle prove gratuite e dei servizi LinkedIn, Microsoft conserverà i dati dei clienti archiviati nel servizio online in un account con funzioni limitate per 90 giorni dopo la scadenza o il termine dell'abbonamento del cliente, in modo da consentire al cliente di estrarre i dati. Alla fine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l'account del cliente ed eliminerà i dati. Dati generati dal servizio: questi dati vengono conservati per un periodo predefinito che va fino a 180 giorni dalla raccolta, soggetto a periodi di conservazione maggiori ove necessario per la sicurezza dei servizi o per rispettare obblighi legali o normativi. Per ulteriori informazioni sulle funzionalità di servizi che consentono al cliente di eliminare i dati personali conservati nel servizio in qualsiasi momento, vedere la Guida per le richieste degli interessati del trattamento dei dati in Office 365. |
Ubicazione e trasferimento dei dati personali | Come descritto nell'allegato 1 delle Condizioni per il prodotto, se il cliente effettua il provisioning dell'istanza di Office 365 in Australia, Canada, Unione europea, Francia, India, Giappone, Corea del Sud, Regno Unito o Stati Uniti, Microsoft archivia i seguenti dati dei clienti inattivi solo all'interno di tale posizione: (1) Exchange Online contenuto della cassetta postale (corpo della posta elettronica, voci del calendario e contenuto degli allegati di posta elettronica), (2) contenuto del sito di SharePoint e file archiviati all'interno di tale sito, (3) file caricati in OneDrive per lavoro e istituto di istruzione e (4) contenuto del progetto caricato in Project Online. Per i dati personali trasferiti all'esterno dello Spazio economico europeo, della Svizzera e del Regno Unito, Microsoft garantirà che i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale siano soggetti alle misure di sicurezza appropriate come descritto nell'articolo 46 del GDPR. Oltre agli impegni di Microsoft in base alle clausole contrattuali Standard per i responsabili del trattamento e ad altri contratti di modello, Microsoft rispetta le condizioni di Data Privacy Framework. |
Condivisione dei dati con terze parti responsabili del trattamento | Microsoft condivide i dati con terze parti che agiscono come altri responsabili del trattamento dei dati per supportare funzioni quali assistenza clienti e supporto tecnico, manutenzione dei servizi e altre operazioni. Eventuali subappaltatori a cui Microsoft trasferisce i dati dei clienti, i dati del supporto tecnico o i dati personali avranno stipulato contratti scritti con Microsoft che non sono meno protettivi delle Condizioni per la protezione dei dati delle Condizioni del prodotto. Tutti i subprocessori di terze parti con cui vengono condivisi i dati dei clienti dei Servizi online principali di Microsoft sono inclusi nella divulgazione del subprocessore dei servizi online. Tutti i terzisti sub-responsabili del trattamento che potrebbero avere accesso ai dati del supporto (compresi i dati del cliente che i clienti scelgono di condividere durante le loro interazioni con il supporto) sono inclusi nell'elenco dei fornitori di supporto commerciale di Microsoft. |
Condivisione dei dati con terze parti indipendenti | Alcuni prodotti di Office 365 includono opzioni di estendibilità che consentono, a scelta del titolare del trattamento, di condividere dati con terze parti indipendenti. Ad esempio, Exchange Online è una piattaforma estendibile che consente l'integrazione di componenti aggiuntivi o connettori di terze parti con Outlook per estenderne il set di funzionalità. Questi provider terzi di componenti aggiuntivi o connettori agiscono indipendentemente da Microsoft e i loro componenti aggiuntivi o connettori devono essere attivati dagli utenti o amministratori dell'organizzazione, che eseguono l'autenticazione con il proprio account del componente aggiuntivo o connettore. Microsoft non divulgherà i dati dei clienti o i dati del supporto alle forze dell'ordine, a meno che non sia richiesto dalla legge. Se le forze dell'ordine contattano Microsoft con una richiesta di dati dei clienti o di dati del supporto tecnico, Microsoft tenterà di reindirizzare l'agenzia delle forze dell'ordine per richiedere tali dati direttamente al Cliente. Se costretto a divulgare i dati dei clienti o dei dati del supporto alle forze dell'ordine, Microsoft informerà tempestivamente il Cliente e fornirà una copia della richiesta, a meno che non sia legalmente vietato farlo. Al ricevimento di qualsiasi altra richiesta di terze parti per i dati dei clienti o i dati del supporto tecnico, Microsoft informerà tempestivamente il Cliente, a meno che non sia vietato dalla legge. Microsoft rifiuterà la richiesta, a meno che non sia richiesto dalla legge per la conformità. Se la richiesta è valida, Microsoft tenterà di reindirizzare la terza parte per richiedere i dati direttamente al cliente. |
Diritti del soggetto dei dati | Quando opera come responsabile del trattamento, Microsoft mette a disposizione dei clienti (titolari del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. Lo facciamo in modo coerente con la funzionalità del prodotto e con il nostro ruolo di responsabile del trattamento. Se riceviamo una richiesta da parte dell'interessato di un cliente per l'esercizio di uno o più dei suoi diritti ai sensi del GDPR, reindirizziamo tale interessato a presentare la richiesta direttamente al titolare del trattamento dei dati. La Guida per le richieste degli interessati del trattamento dei dati in Office 365 fornisce una descrizione per il titolare del trattamento dei dati su come promuovere i diritti degli interessati del trattamento dei dati utilizzando le funzionalità di Office 365. Le richieste da parte di un interessato di esercitare diritti ai sensi del GDPR per i dati personali elaborati per supportare i processi aziendali legittimi devono essere indirizzate a Microsoft, come chiarito nell'Informativa sulla privacy di Microsoft. Microsoft aggrega in genere i dati personali prima di usarli per le operazioni aziendali legittime e non è in grado di identificare i dati personali di un individuo specifico nell'aggregazione. Ciò riduce significativamente i rischi per la privacy di ogni singolo utente. Se Microsoft non è in grado di identificare la persona, non può supportare i diritti dell'interessato, quali il diritto di accesso, di cancellazione, di portabilità e di opposizione o limitazione del trattamento. |
Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi | Tale valutazione dipende dalle esigenze e dagli scopi del trattamento del titolare del trattamento. Per quanto riguarda il trattamento eseguito da Microsoft, tale trattamento è necessario e proporzionale allo scopo di fornire i servizi al titolare del trattamento. |
Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati | I rischi principali per i diritti e le libertà degli interessati derivanti dall'uso di Office 365 dipenderanno da come e in quale contesto il titolare del trattamento dei dati lo implementa, configura e utilizza. Microsoft adotta misure quali l'anonimizzazione o l'aggregazione dei dati personali che utilizza a supporto di operazioni commerciali legittime per supportare l'erogazione dei servizi, minimizzando il rischio del trattamento per i soggetti interessati che si avvalgono del servizio. Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da Microsoft per affrontare tali rischi sono illustrate nelle sezioni seguenti. |
Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell'interessato e di altre persone | Microsoft si impegna a proteggere la sicurezza delle informazioni del cliente. In conformità alle disposizioni dell'articolo 32 del GDPR, Microsoft ha implementato, manterrà e seguirà le misure tecniche e organizzative appropriate volte a proteggere i dati dei clienti e i dati di supporto da accessi accidentali, non autorizzati o illegali, divulgazione, alterazione, perdita o distruzione. Inoltre, Microsoft rispetta tutti gli altri obblighi RGPD che si applicano ai responsabili del trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, le valutazioni di impatto sulla protezione dei dati e il mantenimento dei record. Quando Microsoft elabora i dati personali per operazioni commerciali legittime, lo fa in conformità con gli obblighi del GDPR che si applicano a titolari del trattamento dei dati. |
Parte 3: la DPIA sono fastidiosi, ma possono essere utili
Se l'organizzazione ha bisogno di una bozza di DPIA, le informazioni in questa sezione sono pensate per semplificare il processo.
Contenuto della sezione:
- sono disponibili gli elementi del servizio rilevanti di Office 365 e informazioni specifiche del prodotto e
- è disponibile un modello di modello DPIA vuoto che può essere scaricato, modificato e usato per la stesura di un DPIA personalizzato.
Matrice di elementi del servizio DPIA
La matrice di elementi del servizio DPIA è un'organizzazione di contenuto che può essere utile quando si avvia il processo di documentazione del DPIA. È organizzata in base al servizio e fornisce informazioni specifiche relative al prodotto e collegamenti a documenti che possono essere utili per creare più facilmente risposte reattive agli elementi di DPIA necessari.
Documento di DPIA personalizzabile
Ci rendiamo conto che la stesura di DPIA può essere un'impresa che richiede molto tempo. Anche se i DPIA di ogni cliente variano in base al modo in cui ogni organizzazione configura e usa Office 365, il documento seguente aiuta a risparmiare tempo. È possibile scaricare il documento di DPIA personalizzabile come modello esplicativo modificabile e iniziare subito a usarlo. È possibile usarlo e adattarlo alla specifica implementazione del servizio. Il documento non deve essere inteso come consiglio legale fornito da Microsoft o da una qualsiasi delle relative consociate. Per qualsiasi domanda relativa al processo di stesura di DPIA, è necessario consultare il proprio legale.