Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il Regolamento generale sulla protezione dei dati (GDPR) introduce nuove regole per le organizzazioni che offrono beni e servizi alle persone che risiedono nell'Unione europea (UE) o che raccolgono e analizzano i dati dei residenti nell'UE in qualunque luogo si trovi l'utente o la sua azienda. Per altri dettagli, vedere l'articolo Riepilogo GDPR.
Analogamente, il California Consumer Privacy Act (CCPA) fornisce diritti e obblighi di privacy ai consumatori della California. Questi diritti includono diritti simili ai diritti dell'interessato del GDPR, ad esempio il diritto di eliminare, accedere e ricevere (portabilità) le proprie informazioni personali. Nell'ambito dei diritti che i consumatori possono esercitare, il CCPA prevede inoltre l'obbligo per determinate divulgazioni, di protezioni contro la discriminazione e requisiti di consenso o rifiuto esplicito per alcuni trasferimenti di dati classificati come "vendite". Questo documento illustra come completare le richieste dell'interessato (DSR) secondo il GDPR e il CCPA usando i prodotti e i servizi Microsoft.
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Servizi professionali e supporto tecnico Microsoft
- Office 365
- Famiglia di prodotti Visual Studio
- Windows 365
- Windows
Per le definizioni della terminologia GDPR, vedere Regolamento generale sulla protezione dei dati. Per informazioni sul ruolo di Microsoft come responsabile del trattamento dei dati, vedere Microsoft come responsabile del trattamento dei dati.
Che cos’è una richiesta dell’interessato?
Il Regolamento generale sulla protezione dei dati (GDPR) concede alle persone (note nel regolamento come interessati) il diritto di gestire i dati personali raccolti da un datore di lavoro o da un altro tipo di agenzia o organizzazione (noto come titolare del trattamento dei dati o semplicemente titolare del trattamento) su di essi. Il GDPR concede agli interessati diritti specifici sui propri dati personali. Questi diritti includono l'ottenimento di copie dei loro dati personali, la richiesta di modifiche, la limitazione del trattamento, l'eliminazione o la ricezione in formato elettronico in modo che possano spostarli a un altro titolare del trattamento.
In qualità di titolare del trattamento, è necessario prendere in considerazione tempestivamente ogni richiesta DSR e fornire una risposta sostanziale eseguendo l'azione richiesta o fornendo una spiegazione del motivo per cui il DSR non può essere ospitato dal controller. Consultarsi con i propri consulenti legali o di conformità per quanto riguarda la corretta disposizione di una determinata DSR.
Diversi processi potrebbero essere coinvolti nel completamento di una richiesta DSR, in base alle regole di conformità GDPR dell'organizzazione.
- Scoprire: Usare gli strumenti di ricerca e individuazione per trovare più facilmente i dati dei clienti che potrebbero essere oggetto di una richiesta DSR. Dopo aver raccolto documenti potenzialmente reattivi, è possibile eseguire una o più azioni DSR descritte nei passaggi seguenti per rispondere alla richiesta. In alternativa, è possibile determinare che la richiesta non soddisfa le linee guida dell'organizzazione per rispondere alle richieste DSR.
- Accesso: Recuperare i dati personali che risiedono nel cloud Microsoft e, se richiesto, crearne una copia a cui l'interessato può accedere.
- Rettificare: apportare modifiche o implementare le azioni richieste sui dati personali, ove applicabile.
- Limitare: limitare il trattamento dei dati personali, rimuovendo le licenze per vari servizi di Azure o disattivando i servizi desiderati, dove possibile. È anche possibile rimuovere i dati dal cloud di Microsoft e conservarli in locale o in un'altra posizione.
- Eliminare: rimuovere in modo definitivo i dati personali che risiedono nel cloud Microsoft.
- Esportazione/ricezione (portabilità): fornire all'interessato una copia elettronica dei dati o delle informazioni personali in un formato leggibile da una macchina.
Ogni sezione delle guide specifiche del prodotto descrive le procedure tecniche che un'organizzazione del titolare del trattamento dei dati può seguire per rispondere a una richiesta DSR per i dati personali nel cloud Microsoft.
Come usare le guide specifiche del prodotto
Ogni guida specifica del prodotto è costituita da due parti:
- Parte 1: Risposta alle richieste degli interessati per i dati dei clienti: La parte 1 illustra come accedere, rettificare, limitare, eliminare ed esportare dati da applicazioni in cui sono stati creati dati. Questa sezione illustra in dettaglio come eseguire DSR sia per il contenuto del cliente che per le informazioni identificabili degli utenti.
- Parte 2: rispondere alle richieste degli interessati per i log generati dal sistema: quando si usano i servizi aziendali Microsoft, Microsoft genera alcune informazioni, note come log generati dal sistema, per fornire il servizio. La parte 2 illustra come accedere, eliminare ed esportare tali informazioni.
Informazioni sulle richieste DSR per Microsoft Entra ID e gli account del servizio Microsoft
Usando il token EDDT (Extended Directory Direct Token), gli utenti guest all'interno di un tenant possono avviare richieste DSR tra più tenant. Tutte le richieste DSR avviate dall'utente vengono eseguite su tutti i tenant in cui l'utente è autorizzato dall'amministratore del tenant corrispondente.
Lo stesso processo si applica anche agli account del servizio Microsoft (MSA) nel contesto dei servizi forniti a un cliente aziendale. L'esecuzione di una richiesta DSR su un account dell'account del servizio gestito associato a un tenant Microsoft Entra riguarda solo i dati all'interno del tenant. Inoltre, è importante comprendere quanto segue durante la gestione degli account dell'account del servizio gestito all'interno di un tenant:
- Se un utente msa crea una sottoscrizione Azure, la sottoscrizione viene gestita come se fosse un tenant Microsoft Entra. Di conseguenza, l'ambito delle richieste DSR all'interno del tenant è quello descritto in precedenza.
- Se viene eliminata una sottoscrizione Azure creata tramite un account dell'account del servizio gestito, non influisce sull'account msa effettivo. Anche in questo caso, come indicato in precedenza, le richieste DSR in esecuzione all'interno della sottoscrizione Azure sono limitate all'ambito del tenant stesso.
Gli utenti eseguono DSR su un account MSA stesso, all'esterno di un determinato tenant, tramite il dashboard sulla privacy dei consumatori.
Considerazioni specifiche sulla richiesta DSR
Informazioni dettagliate generate da prodotti o servizi Microsoft
Le informazioni dettagliate possono essere generate da servizi come Viva Personal Insights. Office 365 include Servizi online che forniscono informazioni dettagliate agli utenti e alle organizzazioni che li usano. I dati generati da questi servizi potrebbero produrre dati personali rilevanti per una richiesta DSR. Per informazioni dettagliate sui processi DSR specifici del servizio, vedere la sezione seguente.
Richieste dell’interessato per i log generati dal sistema
I log e i dati correlati generati da Microsoft potrebbero contenere dati che il GDPR considera personali. Non è possibile limitare o rettificare i dati nei log generati dal sistema. I dati nei log generati dal sistema sono azioni concrete eseguite all'interno del cloud Microsoft e dei dati di diagnostica. Le modifiche comprometterebbero la cronologia delle azioni e aumenterebbero i rischi di frode e sicurezza. Microsoft offre la possibilità di accedere, esportare ed eliminare i log generati dal sistema che potrebbero essere necessari per completare una richiesta DSR. Esempi di tali dati includono:
- Dati di utilizzo di prodotti e servizi, ad esempio log di attività dell'utente
- Richieste di ricerca degli utenti e dati della query
- Dati generati da prodotti e servizi risultanti dalla funzionalità di sistema e dall'interazione da parte degli utenti o di altri sistemi.
Per altre informazioni sui log generati dal sistema da un'esportazione DSR (Data Subject Right), vedere Panoramica dei log generati dal sistema da un'esportazione DSR (Data Subject Request).
Viva Engage
L'eliminazione dell'account di un utente non rimuove i log generati dal sistema per Viva Engage. Per rimuovere i dati da queste applicazioni, fare riferimento a una delle seguenti risorse:
Cloud nazionali
In alcuni cloud nazionali, un amministratore IT globale deve eliminare i log generati dal sistema.
Servizi Microsoft
Se l'organizzazione o gli utenti interagiscono con Microsoft per ricevere supporto relativo a prodotti e servizi Microsoft, alcuni di questi dati potrebbero contenere dati personali. Per altre informazioni, vedere Richieste dell’interessato per il GDPR relative ai servizi professionali e al supporto tecnico Microsoft.
Prodotti con titolare Microsoft
In alcune circostanze, gli utenti dell'organizzazione potrebbero accedere a prodotti o servizi Microsoft per i quali Microsoft è il titolare del trattamento dei dati. In questi casi, è necessario che gli utenti rivolgano le proprie richieste direttamente a Microsoft, e Microsoft soddisferà le richieste per l'utente direttamente.
Prodotti di terze parti
Per i prodotti e i servizi di terze parti a cui si accede tramite l'autenticazione dell'account Microsoft, indirizzare le richieste dell'interessato alla terza parte applicabile.
Strumenti di amministrazione delle richieste dell'interessato
- Portali Microsoft: esportare dati creati o generati dall'utente usando il portale Microsoft Purview o le funzionalità in-application.
- Microsoft Entra Amministrazione Center: eliminare un interessato da Microsoft Entra ID e servizi correlati usando Microsoft Entra Amministrazione Center.
- Esportazione log dati Microsoft: gli amministratori tenant possono esportare i log generati dal sistema usando Microsoft Data Log Export.