Informazioni sulle principali condizioni per la privacy e sulle categorie di dati

  • 8 minuti

Per iniziare, esaminare alcune condizioni chiave per la privacy.

Titolare del trattamento dei dati: una persona giuridica, un'autorità pubblica, un'agenzia o un altro organismo che, da solo o congiuntamente ad altri, determina le finalità e le modalità del trattamento dei dati personali.

Il cliente è il titolare del trattamento dei dati per l'uso dei servizi online e dei servizi professionali di Microsoft. Microsoft è il responsabile del trattamento dei dati (tranne nei casi in cui il cliente è il responsabile del trattamento dei dati, nel qual caso Microsoft è il sub-responsabile). Microsoft è un titolare del trattamento dei dati indipendente per i dati usati per fornire una serie limitata di operazioni aziendali legittime (LBO) necessarie per supportare l'uso dei servizi online e dei servizi professionali di Microsoft.

Dati personali e interessato: qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato). Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente. Esistono due tipi di interessati nei servizi aziendali: gli utenti finali all'interno di un tenant e gli utenti esterni a un tenant.

Responsabile del trattamento dei dati: una persona fisica o giuridica, un'autorità pubblica o altro organismo che si occupa del trattamento dei dati personali per conto del titolare. Nei servizi aziendali, Microsoft funge da responsabile del trattamento dei dati, in quale elabora i dati in conformità alle istruzioni documentate di un cliente per fornire i servizi online o i servizi professionali. Microsoft elaborerà solo i dati sulla base delle tue istruzioni documentate. Il contratto multilicenza, incluse le Condizioni per la protezione dei dati, e il modo in cui un cliente configura e usa il servizio costituiscono le istruzioni documentate del cliente.

Il diagramma seguente descrive in modo più dettagliato la relazione tra titolari del trattamento dei dati, responsabili del trattamento dei dati, interessati e dati personali. Negli esempi seguenti, C1 è un cliente diretto di un servizio aziendale e C2 è un cliente di C1.

Il responsabile del trattamento dei dati è Microsoft quando distribuisce servizi online e professionali. Il titolare del trattamento dei dati è un amministratore C1 (titolare della licenza). Un esempio potrebbe essere l'amministratore del tenant Contoso. Sia l'utente C1 sia l'utente C2 possono essere interessati. Un esempio di utente C1 è un dipendente contoso e un esempio di utente C2 è costituito da utenti esterni contoso.

Esistono due tipi di ruoli C1 e un tipo di ruolo C2:

  • Un amministratore C1, che è un titolare della licenza, in genere l'amministratore tenant che si è iscritto a una sottoscrizione del servizio Microsoft. Gli amministratori C1 sono considerati titolari del trattamento dei dati perché si iscrivono ai servizi per conto delle proprie aziende. Configurano le impostazioni e i criteri del tenant nei servizi, decidono chi ottiene una licenza nel servizio Microsoft e assegnano una licenza a tale utente.
  • Un utente C1 è un utente con licenza a cui l'amministratore tenant ha assegnato una licenza. In genere, gli utenti C1 sono dipendenti di un'azienda, a cui spesso si fa riferimento come utenti finali aziendali. Gli utenti C1 sono considerati interessati.
  • Gli utenti C2 sono i clienti di C1. Gli utenti C2 sono esterni ad un'azienda. Ad esempio, quando un utente C1 invita un partner commerciale esterno sul sito di SharePoint di Contoso, questo partner commerciale è un utente C2. Anche gli utenti C2 sono considerati interessati.

Categorie di dati elaborati da Microsoft

I dati usati per l'intero ciclo di vita di un account cliente per fornire servizi professionali o servizi online Microsoft rientrano in una delle quattro categorie di dati separate e distinte:

  • I dati dei clienti sono tutti quei dati, inclusi testo, audio, video o file di immagine e software che il cliente fornisce a Microsoft o che vengono forniti per conto di un cliente usando i servizi online aziendali di Microsoft, ad esclusione dei servizi professionali Microsoft. Questi includono il contenuto dei clienti, ossia i dati che un cliente carica per l’archiviazione o l'elaborazione e le app caricate per la distribuzione tramite un servizio aziendale Microsoft.

    Ad esempio, il contenuto del cliente include le e-mail e gli allegati di Exchange Online, i report Power BI, il contenuto del sito di SharePoint Online, o conversazioni di messaggistica istantanea.

  • I dati generati dal servizio includono tutti i dati "generati" o "derivati" da Microsoft tramite il funzionamento di un servizio online. Microsoft aggrega questi dati dai nostri servizi online e li usa per garantire che le prestazioni, la sicurezza, il ridimensionamento e altri servizi che influiscono sull'esperienza del cliente funzionino ai livelli richiesti dal cliente.

    Per esempio, per comprendere come aumentare la capacità del data center man mano che aumenta l'uso di Microsoft Teams da parte di un cliente, vengono elaborati i dati di log relativi all'utilizzo di Teams. Vengono quindi esaminati i log per individuare le ore di punta e si decide quali data center aggiungere per soddisfare questa capacità.

  • I dati di diagnostica includono tutti i dati "raccolti" o "ottenuti" dal software installato localmente per l'uso in connessione al servizio online aziendale Microsoft. Viene usato per aiutare Microsoft a garantire che il software client sia sicuro e funzioni correttamente.

    Ad esempio, Microsoft raccoglie informazioni sul tempo necessario per avviare un'app, sull'arresto anomalo di un componente aggiuntivo e sul numero di tentativi di accesso. I dati di diagnostica possono anche essere definiti dati di telemetria. Questi non includono nomi, indirizzi e-mail o contenuto di file.

  • Con dati dei servizi professionali si intendono tutti i dati forniti a Microsoft, o elaborati da Microsoft, su autorizzazione e attraverso un impegno con Microsoft per ottenere servizi professionali. I dati dei servizi professionali includono i dati di supporto forniti a Microsoft durante il supporto tecnico per un servizio online.

    Ad esempio, i dati dei servizi professionali includono testo, audio, video, file di immagine o software forniti a Microsoft durante la risoluzione dei problemi.

Quando un cliente usa i servizi online di Microsoft, vengono elaborate tre delle quattro categorie di dati precedenti: dati dei clienti, dati generati dal servizio e dati di diagnostica. Quando un cliente utilizza servizi professionali, noi elaboriamo solo i dati dei servizi professionali e qualsiasi altro dato per cui un cliente ci autorizza l'accesso al fine di eseguire il servizio richiesto. I dati di ciascuna di queste quattro categorie sono anche usati per eseguire una serie limitata di operazioni aziendali legittime (LBO) necessarie per supportare la nostra capacità di fornire i servizi online e i servizi professionali di Microsoft. Limitiamo l'uso dei dati personali per le LBO usando solo i dati pseudonimizzati provenienti dai dati di diagnostica e aggreghiamo i dati personali prima di usarli per le LBO in modo che non siano più collegabili agli utenti.

Microsoft funge da titolare del trattamento dei dati indipendente nell'uso dei dati per eseguire le LBO. L'uso è limitato alle funzioni seguenti:

  • fatturazione e gestione dell’account
  • compensazione (ad esempio, calcolo delle commissioni dei dipendenti)
  • rendicontazione interna e modellazione (ad esempio, previsione, ricavi, pianificazione della capacità, strategia del prodotto)
  • contrasto di frodi, criminalità informatica o attacchi informatici che possono influire su Microsoft o sui Prodotti Microsoft
  • miglioramento della funzionalità primaria di accessibilità, privacy o efficienza energetica
  • rendicontazione finanziaria o conformità agli obblighi di legge

Per saperne di più