Data protection

Utilizzo di Microsoft Office 365 e sua conformità al Regolamento UE 2016/679

Come noto,  MS Office 365,[1] è il pacchetto di servizi produttività di Microsoft, comprendente tra gli altri Word, Excel, PowerPoint e Teams. La versione 365 è basata su un abbonamento ai servizi online (c.d. Saas – Software as a Service)[2], ai quali si accede tramite URL o indirizzo web, sempre aggiornati, basati sul cloud per l’archiviazione remota.

Il trattamento di dati personali presso paesi terzi deve avvenire solo in condizioni di “adeguatezza” garantite dal Paese terzo: gli USA, a seguito dell’abolizione del Privacy Shield (che abilitava i soggetti di diritto USA, come Microsoft, al trattamento dei dati) da parte della Corte di Giustizia europea (sentenza “Schrems II” della Corte di Giustizia, del 2020, che, per l’appunto, ha invalidato tale accordo), non rientrano nel novero di questi Paesi dichiarati adeguati.

Negli USA sono in vigore diverse normative, a vari scopi piuttosto invasive (ad es. antiterrorismo) e senza sufficienti garanzie per gli interessati, che sono state valutate dalle autorità comunitarie (la Corte di Giustizia dell’Unione Europea – CGUE – e lo European Data Protection Board – EPDB –) come non adeguate, in tal senso. 

Di conseguenza, il ricorso a strumenti che comportano il trasferimento dei dati personali negli USA richiede che debbano essere adottare le altre possibili basi di trasferimento previste dal GDPR (ad es. clausole contrattuali standard della Commissione Europea), e, soprattutto, che le stesse si debbano valutare con l’eventuale adozione di ulteriori “misure supplementari” (tecniche, organizzative, contrattuali) descritte da EDPB nelle proprie Raccomandazioni 1/2020.[3]

Per chiarezza va detto che mentre per il caso di Google Analytics[4] le normative americane non conformi ai principi del Regolamento UE 2016/679 (di seguito, “GDPR”), sono: il FISA 702, l’Executive Order n. 12333 e la Presidential Policy Directive n. 28[5]; per MS Office 365 la norma US non conforme al GDPR è il  Clarifying Lawful Overseas Use of Data Act[6] (c.d. CLOUD Act) del marzo 2018. 

Per ciò che interessa in questa sede, l’US Cloud Act[7] è una legge federale degli Stati Uniti emanata nel 2018 che modifica principalmente lo Stored Communications Act (SCA) del 1986 per consentire alle forze dell’ordine federali di obbligare le società tecnologiche con sede negli Stati Uniti a fornire i dati richiesti e archiviati sui server indipendentemente dal fatto che i dati siano archiviati negli Stati Uniti o all’estero suolo.

L’US Cloud Act stabilisce, tra l’altro, che le Autorità giudiziarie ed amministrative statunitensi, al fine di accelerare e rendere più efficienti le loro indagini, possano richiedere ai fornitori di servizi cloud soggetti alla giurisdizione statunitense la produzione, la conservazione o il backup di dati ed informazioni contenuti in documenti elettronici conservati in Paesi terzi, tra i quali ovviamente anche l’UE. Per questo motivo lo EDPB nell’ambito della dodicesima sessione plenaria di luglio 2021, nell’ambito della quale la Commissione LIBE ha espressamente sollecitato e richiesto una attenta valutazione dell’impatto che le previsioni dello US Cloud Act hanno sul quadro giuridico europeo per la protezione dei dati personali

Lo US Cloud Act  confligge, in prima battuta, con l’art. 48 GDPR a mente del quale “Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo”. 

Le licenze Microsoft erano già state oggetto di scrutinio nel 2020 da parte dello European data Protection Supervisor (EDPS), l’Autorità garante per la protezione dei dati presso le istituzioni della comunità europea, che aveva evidenziato una serie di criticità, quali, in estrema sintesi: l’assenza di vincolo alle istruzioni del titolare, la mancata procedura per la nomina dei sub-responsabili, l’uso di clausole contrattuali standard troppo generiche e il pericolo del potenziale accesso ai dati istituzionali da parte di autorità USA.

Sia le autorità olandesi che quelle tedesche hanno condotto una serie di istruttorie finalizzate a determinare la conformità del prodotto Microsoft 365 con le prescrizioni di cui al GDPR.

Le conclusioni alle quali è giunta l’Autorità tedesca per la protezione dei dati vengono di seguito, brevemente, richiamate.[8]

1. L’utilizzo di MS Office 365 comporta l’emersione di problemi legati alla protezione dei dati.

I problemi associati all’utilizzo di prodotti software non europei come Microsoft Office 365 si basano su circostanze tecniche e legali. Di norma, la trasmissione di determinati dati di utilizzo, come l’indirizzo IP, non può essere evitata durante l’uso. Inoltre, non si può escludere che il provider utilizzi determinati dati di utilizzo per propri scopi o li trasmetta a partner pubblicitari.

Per il trasferimento dei dati personali è necessaria una base giuridica. Ciò può derivare da regolamenti di trasmissione legale o dalla possibilità di utilizzare un fornitore di servizi come elaborazione degli ordini ai sensi dell’articolo 28, paragrafo 3, del GDPR[9].

Se il trattamento dei dati da parte di un fornitore non europeo si basa sulle cosiddette clausole standard dell’UE sulla protezione dei dati, ovvero contratti tipo, sono disponibili modelli corrispondenti; questi fanno spesso parte di contratti corrispondenti, anche con fornitori di servizi statunitensi. Secondo la decisione Schrems II della Corte di giustizia, tuttavia, nel trasferimento di dati personali negli USA devono essere adottate misure aggiuntive per garantire che sia garantito un livello di protezione sostanzialmente equivalente a quello dell’UE.

Qui, tuttavia, occorre ancora chiarire quali misure concrete possono essere prese in considerazione alla luce di tale requisito chiarito dalla Corte di giustizia e in vista dei diversi scenari di utilizzo.

Per quanto riguarda Microsoft Office 365, esistono ancora normative nei termini di utilizzo (Termini di servizio online OST) o le normative sulla protezione dei dati (Date Processing Agreement DPA), che soddisfano i requisiti di protezione dei dati del Regolamento generale per la protezione dei dati; ma per quanto attiene ai seguenti aspetti: la trasparenza del trattamento dei dati, le opzioni per influenzare il cliente, le finalità del trattamento dei dati o la cancellazione dei dati;  non c’è corrispondenza.

2. L’alternativa proposta da Microsoft di elaborare i dati su server europei non è sufficiente per un funzionamento conforme alla protezione dei dati.

Sebbene Microsoft offra la possibilità di archiviazione dei dati su server europei (vedi “Termini del servizio online Microsoft”), ciò si applica solo ai “dati dei clienti” come li descrive Microsoft. Questa è la definizione di Microsoft per qualsiasi dato, inclusi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Società tramite l’Utilizzo. “Dati diagnostici” che Microsoft raccoglie o riceve dal software installato localmente dal Cliente (i.e., il titolare del trattamento) in connessione con il Servizio in linea (a volte indicato anche come dati di telemetria: trattasi in buona sostanza di “misurazione e trascrizione di informazioni di interesse del progettista di sistema o all’operatore”) e “Dati generati dal servizio” che Microsoft genera o deduce nel corso dell’esecuzione di un Servizio in linea non ricercato. Questi dati vengono quindi archiviati su sistemi negli Stati Uniti. A causa del loro contenuto (riferimento a dati personali) sorgono questioni relative alla lecita trasmissione alla luce della giurisprudenza della Corte di giustizia europea (CGCE 311/18 (“Schrems II”)) [10].

Al fine di impedire la trasmissione di dati di telemetria personali, i titolari devono quindi garantire mediante misure contrattuali, tecniche o organizzative (ad esempio filtrando le trasmissioni di dati tramite un’infrastruttura adeguata) che non vi sia alcuna trasmissione di dati di telemetria a Microsoft in modo dimostrabile (i.e., il titolare, in applicazione del principio di accountability, deve essere in grado di fornire le evidenze di ciò).

3. Lo US CLOUD Act non è conforme al GDPR.

Il Clarifying Lawful Overseas Use of Data Act (CLOUD-Act degli Stati Uniti del 23 marzo 2018) offre alle autorità americane l’opportunità di richiedere alle società statunitensi (o alle loro filiali) di fornire dati, anche se si trovano al di fuori degli Stati Uniti.

 Ai sensi dell’articolo 48 del GDPR, tale trasmissione di dati a un paese terzo è consentita solo se può essere basata su un accordo internazionale in vigore, come un accordo di assistenza giudiziaria reciproca. Tale accordo ad oggi non esiste.

Un approccio iniziale è stato quello di utilizzare una soluzione di amministrazione fiduciaria offerta da Microsoft, in cui Microsoft non aveva accesso diretto ai dati archiviati in Europa (“Microsoft Germany Cloud”). Tuttavia, il prodotto “MS Deutschland Cloud” è stato successivamente interrotto da Microsoft e non è più disponibile come opzione operativa.

Gli ordini corrispondenti delle autorità statunitensi di divulgare i dati sono generalmente accompagnati da un obbligo di riservatezza da parte del soggetto (i.e., Microsoft come responsabile del trattamento) cui è richiesto di divulgare i dati, in modo che le persone interessate non siano informate che i loro dati sono stati comunicati (tale fattispecie si verifica in violazione di quanto sancito dall’art. 15 cpv. 1 lett. c del GDPR).

In caso di accesso ai dati da parte delle autorità statunitensi o relative richieste di restituzione, ciò comporta una violazione dell’articolo 48 GDPR (“Trasferimento o comunicazione non autorizzati dal diritto dell’Unione”) [11].

4. In quali condizioni è concepibile un uso conforme alla protezione dei dati di Microsoft Office 365?

I problemi di protezione dei dati riguardano principalmente i prodotti basati su cloud. A titolo di esempio sono disponibili informazioni sulle condizioni alle quali l’uso di Microsoft Office 365 può essere consentito dalla legge sulla protezione dei dati. Ciò accadrebbe nelle ipotesi in cui:

a) il funzionamento di MS Office 365 avviene nelle strutture IT del titolare del trattamento (“soluzione in loco”);

b) o in luoghi all’interno dell’UE/SEE che non sono soggetti a un obbligo di divulgazione ai sensi dello US CLOUD Act.

Il divieto di trasmissione dei dati di telemetria è applicabile in relazione al pacchetto MS Office 365 o il sistema operativo Windows sottostante. Con Windows 10 Enterprise, la trasmissione di dati a Microsoft può essere in gran parte impedita dalle impostazioni del sistema operativo.

Così come può essere applicato il filtro durante la trasmissione dei dati di telemetria personale tramite un’infrastruttura appropriata (firewall) a meno che ciò non possa essere impedito dalle specifiche di configurazione. In questo caso, i titolari devono utilizzare misure contrattuali, tecniche o organizzative per garantire che non vi sia alcuna trasmissione di dati di telemetria a Microsoft in modo dimostrabile

Trattamento dei dati basato sulle cosiddette clausole standard UE sulla protezione dei dati (contratti tipo). Secondo la decisione Schrems II della Corte di giustizia, tuttavia, nel trasferimento di dati personali negli USA devono essere adottate misure aggiuntive per garantire che sia garantito un livello di protezione sostanzialmente equivalente a quello dell’UE. Qui, tuttavia, è ancora necessario chiarire quali misure concrete sono possibili alla luce di questo requisito chiarito dalla Corte di giustizia e in vista dei diversi scenari di utilizzo.

Tra le misure individuate dal garante tedesco si annoverano le seguenti:

a) L’utilizzo di indirizzi e-mail/account ufficiali pseudonimi e il divieto di utilizzo di account Microsoft privati.

b) Utilizzo tramite un browser preconfigurato e sicuro con misure di protezione integrate per la più ampia anonimizzazione/sincronizzazione dei metadati.

c) L’interposizione di client terminali opportunamente preconfigurati per la più ampia anonimizzazione/sincronizzazione dei metadati.

d) L’utilizzo dei dispositivi finali forniti esclusivamente dal titolare e configurati per il salvataggio dei dati.

e) Il reindirizzamento del traffico Internet tramite la infrastruttura del titolare con misure tecniche adeguate per nascondere gli indirizzi IP domestici.

    5. Quali “dati di utilizzo” vengono trasmessi con Microsoft Office 365?

    Quando si utilizzano pacchetti software come Microsoft Office 365 o soluzioni cloud corrispondenti, possono essere trattati dati personali o di identificazione personale a diversi livelli.

    Microsoft, in questo contesto, distingue tra “Dati del cliente”, trattasi di tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software, forniti a Microsoft da o per conto del Cliente tramite l’Utilizzo; “Dati diagnostici” che Microsoft raccoglie da Software installato o ricevuto localmente dal Cliente  in relazione al Servizio in linea (a volte indicato come dati di telemetria) e ai “Dati generati dal servizio” che Microsoft genera o deduce nel corso dell’esecuzione di un Servizio in linea.

    Viene raccolta una grande quantità di dati sull’uso individuale di Word, Excel, PowerPoint e Outlook, Team e altre applicazioni e servizi. La raccolta va ben oltre il richiamo di un programma o la durata di utilizzo. Ad esempio, Microsoft raccoglie informazioni sugli eventi in Word, come premere il tasto backspace più volte di seguito, ma anche la frase prima e dopo una parola cercata nel correttore ortografico online. Il componente di telemetria integrato non solo registra i dati di utilizzo per le applicazioni utilizzate principalmente, ma anche l’utilizzo individuale dei servizi connessi come il servizio di traduzione o il motore di ricerca Microsoft Bing, nonché i dati sul dispositivo finale utilizzato, l’indirizzo di Accesso a Internet (indirizzo IP), dati sulla posizione e altro.

    Nella maggior parte dei casi, i dati diagnostici o generati dal servizio sono informazioni tecniche che non hanno alcun riferimento personale diretto. Tuttavia, questi possono essere assegnati a un ID utente univoco appartenente all’utente o rappresentare identificatori univoci. Gli studi hanno dimostrato che a causa della grande quantità di informazioni, la reidentificazione è possibile anche quando si utilizzano account utente pseudonimi.

    6. Quali misure tecniche e organizzative possono essere adottate per impedire l’invio di dati diagnostici a Microsoft?

    I titolari del trattamento sono obbligati ad adottare misure tecniche e organizzative che offrano protezione contro trattamenti non autorizzati o illeciti (art. 5 GDPR). Per quanto riguarda la trasmissione dei dati di telemetria, è importanti applicare, almeno, le seguenti misure:

    • Verifica dei trasferimenti di dati a Microsoft. Questo dovrebbe coprire il traffico in uscita dai  computer degli utenti e le relative destinazioni come esempio per scoprire il flusso di dati dal software Microsoft ai server Microsoft o ad altre destinazioni. In particolare, dovrebbero essere coperti i normali modelli di utilizzo dei prodotti e servizi Microsoft utilizzati.
    • Microsoft fornisce Diagnostic Data Viewer (DDV) per l’analisi dei dati diagnostici in Windows 10 e prodotti Office: https://support.microsoft.com/de-de/office/using-des-diagnosedaten-viewers-mit-office-cf761ce9- d805-4c60-a339-4e07f3182855
    • Utilizzo delle opzioni di configurazione disponibili sul lato prodotto per impedire la trasmissione di dati diagnostici/di telemetria (vedi ad es. https://www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/ ).
    • All’interno dei prodotti Office, Microsoft offre una serie di cosiddetti “controlli” con i quali è possibile configurare la raccolta/trasmissione dei dati diagnostici:

    https://docs.microsoft.com/de-de/deployoffice/privacy/products-versions-privacy-controls

    https://docs.microsoft.com/de-de/deployoffice/privacy/overview-privacy-controls.

    • Se non sono disponibili opzioni di configurazione corrispondenti, al fine di impedire la trasmissione di dati personali di telemetria, questa deve essere assicurata mediante misure contrattuali, tecniche o organizzative (ad es. filtrando l’accesso a Internet tramite una corrispondente infrastruttura del titolare) che in modo dimostrabile non avviene la trasmissione dei dati di telemetria a Microsoft.
    • Monitoraggio degli aggiornamenti dei prodotti Microsoft e revisione di eventuali modifiche alla configurazione associate.
    • Inoltre, la possibilità di archiviazione dei dati su server europei tiene conto solo in parte del problema dell’accesso da parte delle autorità statunitensi che non rispettano il diritto europeo, poiché l’American Clarifying Lawful Overseas Use of Data Act (CLOUD Act) del 23 marzo 2018 obbliga le società statunitensi a consegnare i dati anche se i dati sono archiviati al di fuori degli Stati Uniti

    L’autorità federale tedesca chiarisce, anzitutto, che nonostante le criticità emerse da tempo e il dialogo in corso con Microsoft per rivedere le licenze e i termini di trattamento dei dati personali, in tali accordi (detti “Online Service Terms – OST”) e relativi DPA (Data Processing Agreement) sussistano ancora disposizioni non conformi ai requisiti di protezione dei dati circa la trasparenza del trattamento, le possibilità di influenzare l’utilizzatore, le finalità del trattamento o la cancellazione dei dati.

    Viene dato conto che l’opzione offerta da Microsoft di possibile selezione del solo territorio UE per l’archiviazione dei dati è ammessa solo per i dati “dei clienti” (come file vari generati e utilizzati dagli utenti), mentre non è ammessa per i dati “diagnostici” raccolti dal software (anche se installato localmente dal cliente) né per i dati “generati dai servizi stessi” nel corso della loro gestione.

    Ciò significa che tali dati sono custoditi in server negli USA e si deve tenere conto che i dati (e metadati) sull’uso individuale delle applicazioni e dei servizi possono rivelare molto sugli utilizzatori.

    Quindi, la realizzazione di questa telemetria (misurazione e trascrizione di informazioni di interesse al progettista di sistema o all’operatore) comporta dei rischi per i dati personali coinvolti.

    L’autorità tedesca afferma, inoltre, che “in molti casi non è nemmeno chiaro quali dati vengano effettivamente inviati, poiché la trasmissione è spesso criptata e i dati non possono quindi essere visualizzati durante un audit. Nel complesso, vi è una mancanza di trasparenza per quanto riguarda i dati trattati da Microsoft che soddisfano i requisiti del Regolamento generale sulla protezione dei dati”.

    Per impedire questo, il cliente dovrebbe impiegare sistemi di filtraggio che impediscano di far arrivare dati in chiaro a Microsoft negli USA. Comunque sia, sarebbe un rimedio parziale: correttamente si puntualizza che in virtù del CLOUD Act anche i dati extra-USA possono finire in una richiesta di accesso delle autorità americane.

    Un’alternativa, secondo l’autorità tedesca, è quella di utilizzare Office 365 solo in locale (soluzione “on-premises” [12]) o in sedi all’interno dell’Unione che non siano soggette all’obbligo di divulgazione ai sensi del CLOUD Act.

    Sulla scorta di quanto esposto ed in linea con l’analisi condotta dall’Autorità per la protezione dei dati tedesca, si suggerisce – in prima battuta – l’adozione delle seguenti misure (che sono prettamente tecniche/organizzative ed il cui elenco può/deve essere integrato con il contributo dei Sistemi Informativi aziendali e dell’Ufficio Privacy aziendale e, la successiva, approvazione del responsabile della Protezione dei dati  – RPD/DPO), che possono essere riassunte come segue:

    1. censire i prodotti del servizio Microsoft 365 in uso presso la Azienda, individuando le connessioni e gli interfacciamenti con altri gestionali;
    2. effettuare il controllo delle trasmissioni di dati a Microsoft – il traffico di dati in uscita dai computer degli utenti e le relative destinazioni -, utilizzando anche il visualizzatore di dati diagnostici (DDV) della stessa Microsoft, con relativa configurazione della raccolta/trasmissione di tali dati;
    3. intervenire sulle impostazioni del sistema operativo Windows 10 Enterprise, bloccando per quanto possibile i trasferimenti;
    4. utilizzare firewall che impediscano la trasmissione dei predetti dati diagnostici e di servizio;
    5. utilizzare indirizzi/account di posta elettronica ufficiali pseudonimi (idealmente temporanei) e il divieto di utilizzare account privati Microsoft per gli utenti;
    6. utilizzare un browser preconfigurato e protetto con misure di protezione integrate, oltre che di client interconnessi e preconfigurati, per la massima anonimizzazione/pseudonimizzazione dei metadati;
    7. utilizzare solo dispositivi forniti dalla Azienda (per il tramite dei Sistemi Informativi aziendali) e configurati per salvare i dati;
    8. reindirizzare il traffico Internet attraverso un’infrastruttura separata, con misure tecniche adeguate a mascherare gli indirizzi IP di origine;
    9. se devono essere impiegati prodotti e servizi Microsoft che non sono stati utilizzati in precedenza, vanno condotte valutazioni di impatto, da svolgere ex ante rispetto all’avviamento del servizio (rectius, del trattamento), tenendo conto della “natura, l’oggetto, il contesto e le finalità del trattamento”, per valutare se effettivamente il trattamento presenti “un rischio elevato per i diritti e le libertà delle persone fisiche” (ai sensi dell’art. 35 del GDPR [13]);
    10. valutare il ricorso a servizi analoghi a quelli offerti da MS 365 ma conformi al GDPR.

    [1] Link: https://www.office.com/ : Nel marzo 2018 gli Stati Uniti hanno adottato il Clarifying Lawful Overseas Use of Data (CLOUD) Act per accelerare l’accesso alle informazioni elettroniche detenute da fornitori globali con sede negli Stati Uniti, fondamentali per le indagini dei nostri partner stranieri su reati gravi, che vanno dal terrorismo alla criminalità violenta allo sfruttamento sessuale dei bambini e alla criminalità informatica. Negli ultimi anni, il numero di richieste di assistenza giudiziaria reciproca volte a ottenere prove elettroniche provenienti dagli Stati Uniti è aumentato notevolmente, mettendo a dura prova le risorse e rallentando i tempi di risposta.  Le autorità straniere hanno pertanto espresso la necessità di una maggiore rapidità nell’ottenimento di queste prove.  Inoltre, molte delle richieste di assistenza ricevute dagli Stati Uniti riguardano informazioni elettroniche relative a individui o entità situati in altri paesi, e l’unico collegamento dell’indagine con gli Stati Uniti è che le prove sono detenute da un’entità globale con sede negli Stati Uniti. fornitore.  Il CLOUD Act è progettato per consentire ai nostri partner stranieri che dispongono di solide protezioni per la privacy e le libertà civili di stipulare accordi bilaterali con gli Stati Uniti per ottenere accesso diretto a queste prove elettroniche, ovunque si trovino, al fine di combattere i crimini gravi e terrorismo. Il CLOUD Act rappresenta quindi un nuovo paradigma: un approccio efficiente, attento alla tutela della privacy e delle libertà civili, per garantire un accesso effettivo ai dati elettronici che si trovano oltre la portata del paese richiedente a causa della rivoluzione nelle comunicazioni elettroniche, delle recenti innovazioni nel modo in cui le aziende tecnologiche globali configurano i loro sistemi e l’eredità dei quadri giuridici del XX secolo.  Il CLOUD Act autorizza accordi bilaterali tra gli Stati Uniti e partner stranieri fidati che renderanno più sicuri i cittadini di entrambe le nazioni, garantendo allo stesso tempo un elevato livello di protezione dei diritti di tali cittadini.

    [2] Software as a service (acronimo SaaS, lett. “software come servizio”, in alcuni casi anche Pay Per Use – PPU cioè lett. “pagare per l’uso”[1]) è un modello di servizio[2] del software applicativo realizzato da un produttore che mette a disposizione un programma, direttamente o tramite terze parti, con modalità telematiche come ad esempio un’applicazione web.[3]  (da Wikipedia)

    [3]Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE

     Link: https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_it

    [4] Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

    [5] Link: https://www.dhs.gov/publication/presidential-policy-directive-28-ppd-28-signals-intelligence-activities

    [6] Link: https://www.justice.gov/criminal/cloud-act-resources#:~:text=The%20United%20States%20enacted%20the,crime%20to%20sexual%20exploitation%20of

    [7] Link: https://www.justice.gov/criminal/cloud-act-resources

    [8]link: https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/

    [9] Articolo 28 Responsabile del trattamento (C81)

    (omissis)

    3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

    a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

    b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

    c) adotti tutte le misure richieste ai sensi dell’articolo 32;

    d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

    e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

    f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

    g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

    h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

    [10] Link: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=ecli:ECLI:EU:C:2020:559

    [11] Articolo 48 Trasferimento o comunicazione non autorizzati dal diritto dell’Unione (C115)

    Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo.

    [12] Con il termine software on premise (od on premises,) si fa riferimento alla fornitura di programmi informatici installati e gestiti attraverso computer locali.

    [13] Articolo 35Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

    1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

    2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

    3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

    a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

    b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;

    c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

    4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.

    5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.

    6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

    7. La valutazione contiene almeno:

    a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

    b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

    c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

    d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

    8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

    9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

    10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle

    attività di trattamento.

    11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

    About Author /

    Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn
    Registro

    Lascia un commento

    Your email address will not be published.

    Potrebbe piacerti

    Certificati per l’assenza dal lavoro
    Certificati per l’assenza dal lavoro, Garante: no ai dati sulla salute
    4 Gennaio 2025
    agenzia investigativa
    L’utilizzo dei permessi sindacali ex legge n. 104 del 1992 e il controllo svolto, su richiesta del datore di lavoro, da una agenzia investigativa. Il vaglio della conformità alla norma sulla protezione dei dati in un recente arresto della Cassazione.
    7 Maggio 2025
    trattamento dati personali
    Censimento dei servizi e dei processi di trattamento dei dati personali
    23 Gennaio 2024

    Start typing and press Enter to search