Domande frequenti sulle clausole modello UE

Mostra tutto

Le clausole modello UE consentono ai clienti di garantire la conformità alla direttiva per la protezione dei dati dell'Unione Europea relativa ai trasferimenti oltre confine dei dati personali.

Le leggi della UE in materia di protezione dei dati impongono restrizioni sull'esportazione dei dati dall'area economica europea. Le clausole modello, ovvero le clausole contrattuali standard approvate dalla Commissione Europea, consentono di legalizzare il trasferimento dei dati personali all'esterno dell'area economica europea.

I provider di servizi cloud globali che offrono servizi, affidabilità e prestazioni di livello enterprise, oltre a servizi complementari come assistenza clienti e supporto tecnico disponibili 24 ore su 24, 7 giorni su 7, hanno bisogno di flessibilità per il trasferimento dei dati personali di un cliente UE all'esterno dell'Unione Europea per la fornitura del servizio cloud.

Benché Microsoft e i suoi clienti possano fare affidamento sul quadro normativo "Safe Harbor" per legalizzare il trasferimento dei dati personali dall'Unione Europea, alcune autorità europee per la regolamentazione della protezione dei dati sostengono che la convenzione Safe Harbor potrebbe non essere sufficiente per gli ambienti dei servizi cloud aziendali.

Microsoft è disponibile a sottoscrivere contratti sull'elaborazione dei dati contenenti le clausole contrattuali standard dell'Unione Europea con tutti i clienti di Office 365 e Microsoft Dynamics CRM Online, indipendentemente dalle dimensioni dell'organizzazione o dal valore del contratto per i servizi di Office 365 o Microsoft Dynamics CRM Online del cliente.

La disponibilità a sottoscrivere le clausole modello UE implica investimenti e lo sviluppo dei controlli e dei processi operativi necessari per soddisfare gli esatti requisiti previsti da tali clausole. Per garantire la conformità alle clausole modello UE, Microsoft ha investito nello sviluppo di controlli e processi a un livello superiore rispetto a quello richiesto per ottenere la certificazione ISO 27001 e questi controlli vengono sottoposti a valutazione nell'ambito di controlli annuali. Inoltre, Microsoft fornisce informazioni complete sugli incaricati dell'elaborazione dei dati, sullo stato di beneficiario di terze parti applicato ai soggetti dei dati e sulle misure di sicurezza tecniche e organizzative. È possibile che i concorrenti che non offrono le clausole modello UE non abbiano implementato questi controlli e processi o che adottino procedure aziendali tali per cui non sono in grado di garantire la conformità a queste clausole.

A meno che il provider di servizi cloud non sia disponibile ad accettare le clausole modello UE, può risultare difficile per un cliente avere la certezza di potersi conformare ai requisiti della direttiva comunitaria sulla protezione dei dati per il trasferimento di dati personali dall'Unione Europea in giurisdizioni che non forniscono "adeguata protezione". Di fatto, il gruppo di lavoro istituito dall'articolo 29 ha sottolineato l'importanza di stabilire misure di sicurezza a livello contrattuale nella relazione tra responsabile del controllo dei dati e responsabile dell'elaborazione (ovvero, tra il cliente e il provider di servizi cloud) e ha enfatizzato la rilevanza delle clausole modello UE.

Le autorità per la protezione dei dati dell'Unione Europea in genere non considerano la crittografia un'alternativa a misure di protezione adeguate per i trasferimenti oltre confine dei dati personali.

Oltre alle clausole modello UE, i clienti devono considerare l'impegno complessivo del provider di servizi in merito alla privacy e alla sicurezza dei dati. La collaborazione proattiva del provider con le autorità locali per la protezione dei dati e il gruppo di lavoro istituito dall'articolo 29 dimostrano questo tipo di impegno e contribuiscono ad assicurare che l'offerta del provider di servizi soddisfi le aspettative sia dei clienti che delle autorità competenti.

Microsoft ha ricevuto numerosi pareri favorevoli dalle autorità europee per la protezione dei dati a supporto delle avanzate caratteristiche per la privacy e la conformità di Office 365 e Microsoft Dynamics CRM Online, dimostrando ancora una volta quanto tenga conto della privacy fin dalla fase di progettazione dei propri servizi cloud.

Alla data corrente, Microsoft ha ottenuto convalide per iscritto dalle autorità per la protezione dei dati in Francia, Germania (Baviera), Danimarca, Irlanda, Lussemburgo, Malta e Spagna in merito al proprio approccio alle clausole modello UE. Queste convalide confermano l'impegno di Microsoft ad aiutare i clienti a soddisfare i requisiti normativi in merito al trasferimento di dati personali dall'Unione Europea in giurisdizioni che non forniscono "adeguata protezione".

I clienti dell'Unione Europea possono passare a Office 365 o a Microsoft Dynamics CRM Online e avere la certezza di potersi conformare ai requisiti della UE per la protezione dei dati.

Office 365 è un servizio multi-tenant che Microsoft gestisce con le stesse caratteristiche, gli stessi controlli e gli stessi processi per tutti i clienti, inclusi quelli che scelgono di non sottoscrivere le clausole modello UE.