Principali domande sulla privacy da porre a un provider cloud

Microsoft Office 365 fornisce caratteristiche di privacy essenziali a tutti i clienti di Office 365. Lo scopo di questa sezione è descrivere tali caratteristiche di privacy e il modo in cui soddisfano gli elevati standard di privacy definiti dalle autorità dell'Unione Europea. Il 1 luglio 2012, il gruppo di lavoro dell'articolo 29 (WP29), un gruppo composto da autorità per la protezione dei dati nazionali dell'Unione Europea, ha adottato il Giudizio 05/2012 sul cloud computing. Il Giudizio sul cloud computing sottolinea i vantaggi del cloud computing, tra cui una maggiore efficienza e una sicurezza superiore. Nel Giudizio, il gruppo di lavoro dell'articolo 29 sottolinea l'importanza di scegliere un provider di servizi cloud trasparente rispetto alle procedure di protezione dei dati e che rispetti la privacy dei dati dei clienti.

Il Giudizio del gruppo di lavoro dell'articolo 29 fornisce indicazioni essenziali per gli utenti di servizi cloud correnti e futuri. Identifica inoltre numerose domande che i clienti, nel proprio ruolo di responsabili del controllo dei dati, devono considerare al momento della selezione di un provider cloud. Di seguito sono descritte le principali domande sulla privacy e le risposte di Office 365.

Riferimento al Giudizio del gruppo di lavoro dell'articolo 29: nella sezione 4.1 (primo punto elenco sotto l'intestazione "Osservanza dei principi fondamentali in materia di protezione dei dati”), il gruppo di lavoro dell'articolo 29 afferma che “i fornitori cloud dovrebbero informare i clienti cloud in merito a tutti gli aspetti pertinenti (per la protezione dei dati) dei propri servizi… in particolare, i clienti dovrebbero essere informati in merito a tutti i subcontraenti che contribuiscono alla prestazione dei rispettivi servizi cloud e a tutte le sedi presso le quali i dati possono essere archiviati o trattati dal fornitore cloud e/o dai suoi subcontraenti”. La sezione 3.4.1.1 (Trasparenza) sottolinea ulteriormente l'importanza della trasparenza nella relazione tra provider cloud e cliente cloud.

Office 365: Microsoft rende disponibili le informazioni sulle proprie procedure di privacy e sicurezza nel Centro protezione Office 365. Il Centro protezione Office 365 contiene informazioni sulla posizione di archiviazione dei dati, su chi può accedervi e in quali circostanze e su quali subappaltatori sono coinvolti nell'elaborazione dei dati.
Riferimento al Giudizio del gruppo di lavoro dell'articolo 29: sezione 3.4.1.2 (Specificazione e limitazione della finalità). Il gruppo di lavoro dell'articolo 29 specifica chiaramente che i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo non incompatibile con tali finalità” e che i clienti cloud sono responsabili di “garantire che i dati personali non siano (illegalmente) trattati per ulteriori finalità dal fornitore del servizio cloud.”

Office 365: nei servizi cloud di Microsoft per le aziende i dati dei clienti vengono usati solo per fornire i servizi. Ciò può includere procedure per la risoluzione di problemi volte a impedire, rilevare e correggere problemi che influiscono sul funzionamento dei servizi, nonché il miglioramento delle funzionalità che implicano il rilevamento di, e la protezione da, minacce emergenti o in evoluzione (ad esempio, malware o spam). Office 365 non realizza prodotti pubblicitari sfruttando i dati dei clienti. Posta elettronica e documenti non vengono in alcun modo analizzati a scopo di analisi, data mining o per sviluppare annunci pubblicitari, né per migliorare il servizio.

Microsoft non divulga i dati dei clienti a terze parti (incluse forze dell'ordine, altre entità governative o parti in causa in procedimenti civili, ad esclusione dei relativi subappaltatori) tranne che su richiesta del cliente o se necessario a norma di legge.
Riferimento al Giudizio del gruppo di lavoro dell'articolo 29: sezione 3.4.1.2 (Specificazione e limitazione della finalità) e sezione 3.3.1 (Cliente cloud e fornitore cloud).

Office 365: i server cloud di Microsoft per le aziende sono fisicamente e/o logicamente separati dai server per i servizi online per gli utenti consumer. I dati dei clienti aziendali, i dati nei servizi online di Microsoft per gli utenti consumer e i dati creati o risultanti da attività di analisi, indicizzazione o data mining eseguite da Microsoft non vengono combinati, a meno che tale operazione non venga approvata anticipatamente dal cliente.
Riferimento al Giudizio del gruppo di lavoro dell'articolo 29: sezione 3.4.1.2 (Specificazione e limitazione della finalità) e sezione 3.3.1 (Cliente cloud e fornitore cloud).

Office 365: Microsoft non analizza i messaggi di posta elettronica o i documenti a fini pubblicitari. Nei servizi Microsoft per le aziende i dati dei clienti vengono mantenuti, analizzati e indicizzati allo scopo di fornire caratteristiche avanzate che consentono ai clienti di accedere e organizzare i propri dati. Ad esempio, gli utenti finali possono facilmente cercare documenti e altri contenuti in Office 365.
Riferimento al Giudizio del gruppo di lavoro dell'articolo 29: sezione 3.4.3 (Misure tecniche e organizzative per la protezione e la sicurezza dei dati).

Office 365: il servizio commerciale Office 365 è separato logicamente dei servizi online consumer. I dati dei clienti aziendali e i dati nei servizi online consumer di Microsoft non vengono combinati, a meno che tale operazione non venga approvata anticipatamente dal cliente.
Il gruppo di lavoro dell'articolo 29 conclude che i meccanismi tradizionali per il trasferimento dei dati al di fuori dell'area economica europea presentano “limitazioni” quando vengono applicati al cloud. Il gruppo di lavoro dell'articolo 29 cita come esempio le linee guida Safe Harbor, sottolineando ai clienti cloud che “la sola autocertificazione di conformità al Safe Harbor può non essere considerata sufficiente” per i trasferimenti di dati a provider con sede negli Stati Uniti. Il gruppo di lavoro dell'articolo 29 ricorda inoltre ai clienti cloud l'esigenza di assicurare la conformità agli eventuali obblighi di legge applicabili a livello nazionale.

Office 365 fornisce un Contratto sull'elaborazione dati (Data Processing Agreement, DPA) completo e offre le clausole modello UE, oltre all'autocertificazione di conformità alla convenzione Safe Harbor tra Stati Uniti e Unione Europea. Mentre le clausole modello UE sono pensate specificamente per i clienti dell'Unione Europea, il Contratto sull'elaborazione dati rappresenta un'aggregazione di procedure consigliate relative alla privacy di diversi paesi ed è disponibile per tutti i clienti, indipendentemente dall'area geografica o dalle dimensioni. I processi sviluppati da Office 365 per la conformità alle clausole modello UE non sono limitati ai clienti dell'Unione Europea, ma sono disponibili per tutti i clienti.