Notifica di violazione dei dati secondo il GDPR

Informazioni sulla modalità di rilevamento, risposta e notifica da parte di Microsoft in caso di una violazione dei dati personali ai sensi del GDPR.

Il GDPR impone ai titolari e ai responsabili del trattamento dei dati l'obbligo di notifica in caso di violazione dei dati personali. Le informazioni seguenti descrivono tali disposizioni, come Microsoft tenta di impedire violazioni in primo luogo, come Microsoft rileva una violazione e come Microsoft risponde in caso di violazione e informa l'utente come titolare del trattamento dei dati.


Documentazione sulla violazione dei dati per i servizi online

Office 365

Dynamics 365

Microsoft Professional Services

Strumenti di amministrazione

Nominare il contatto responsabile della privacy nell'organizzazione. Gli amministratori tenant possono usare il Portale di amministrazione di Azure Active Directory per definire il contatto responsabile della privacy nell'organizzazione per eventuali comunicazioni di Microsoft.

Domande frequenti sulla notifica di una violazione dei dati

Ecco alcune domande e risposte importanti sulla notifica delle violazioni:
|

Per dati personali si intendono le informazioni relative a un individuo che possono essere utilizzate per identificare tale soggetto direttamente o indirettamente. Una violazione dei dati personali è "una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".

In caso di una violazione di dati personali che probabilmente comporta un rischio elevato per i diritti e le libertà degli individui (come discriminazione, furto di identità, frodi, perdita finanziaria o danni alla reputazione), il GDPR richiede di:
  • Informare l'autorità incaricata della protezione dei dati appropriata entro 72 ore dal rilevamento di una violazione, ad esempio, dopo che l'utente riceve una notifica da Microsoft. Se non si invia una notifica all'autorità incaricata della protezione dei dati entro quel periodo di tempo, sarà necessario fornire una spiegazione all'autorità. Questa notifica all'autorità incaricata della protezione dei dati è necessaria anche in caso di rischi non elevati per gli individui.
  • Informare immediatamente gli interessati della violazione.
  • Documentare la violazione includendo una descrizione della natura della violazione, indicando ad esempio quante persone sono interessate, il numero dei record di dati interessati, le conseguenze della violazione ed eventuali azioni correttive programmate o attuate dall'organizzazione.

Secondo il GDPR, dopo aver rilevato una violazione dei dati personali siamo obbligati a informare immediatamente gli interessati. Poiché Microsoft è un responsabile del trattamento dei dati, si attiene ai requisiti del GDPR e alle disposizioni contrattuali standard a livello mondiale. Consideriamo tutte le violazioni dei dati personali confermate allo stesso modo, senza esclusioni in base al rischio dei danni. Comunichiamo ai clienti se la violazione dei dati è stata subita direttamente da Microsoft o da titolari secondari del trattamento. Ci atteniamo a processi che ci consentono di identificare rapidamente il personale addetto agli incidenti di sicurezza di un'organizzazione e di contattarlo. Inoltre, tutti i titolari secondari del trattamento sono tenuti a segnalare le proprie violazioni a Microsoft e a fornire garanzie in tal senso.

Tutti i nostri servizi e il nostro personale seguono procedure interne di gestione degli incidenti per garantire che siano adottate le precauzioni adatte per evitare violazioni dei dati. Tuttavia, in aggiunta, i servizi online dispongono di controlli di sicurezza specifici nelle nostre piattaforme per rilevare le violazioni di dati nei rari casi in cui si verificano.

Per supportare l'utente in caso di violazione dei dati personali, Microsoft:
  • Ha il personale di sicurezza qualificato per le procedure specifiche da seguire.
  • Ha i criteri, le procedure e i controlli per verificare che Microsoft gestisca record dettagliati. Ciò include la documentazione che riguarda i fatti dell'incidente, i relativi effetti e l'azione correttiva, oltre a monitorare e memorizzare le informazioni nei sistemi di gestione degli incidenti.

Microsoft ha direttive e procedure specifiche per informare immediatamente gli interessati. Per soddisfare gli obblighi di notifica per l'autorità incaricata della protezione dei dati, forniamo una descrizione del processo usato per determinare se si è verificata una violazione dei dati personali, una descrizione della natura della violazione e una descrizione delle misure adottate per mitigare le conseguenze della violazione.