Principali domande sulla privacy da chiedere a un provider di servizi cloud

Microsoft Office 365 fornisce caratteristiche essenziali per la privacy a tutti i clienti. Lo scopo di questa sezione è descrivere tali caratteristiche e il modo in cui soddisfano gli elevati standard di privacy definiti dalle autorità dell'Unione Europea. Il 1° luglio 2012 il gruppo di lavoro istituito dall'articolo 29 dell'Unione Europea (WP29), composto da autorità per la protezione dei dati nazionali della UE, ha adottato il Parere 5/2012 sul cloud computing, che evidenzia i vantaggi del cloud computing, tra cui una maggiore efficienza e una sicurezza più efficace. Nel Parere il gruppo di lavoro WP29 sottolinea l'importanza di scegliere un provider di servizi cloud trasparente in merito alle procedure di protezione dei dati e al rispetto della privacy dei clienti.
Il Parere fornisce indicazioni essenziali per gli utenti attuali e futuri. Solleva inoltre diverse domande che i clienti, nel loro ruolo di responsabili del controllo dei dati, dovrebbero considerare per la scelta di un provider di servizi cloud. Le principali domande sulla privacy e le risposte offerte da Office 365 sono riportate qui.
MostraNascondi
Il provider di servizi cloud offre informazioni complete e facilmente comprensibili sulle procedure adottate per la sicurezza e la privacy in una singola posizione centrale? Queste informazioni affrontano questioni importanti, ad esempio dove vengono archiviati i dati, chi può accedervi e in quali circostanze e quali subcontraenti sono coinvolti nell'elaborazione dei dati?
Riferimento al Parere del gruppo di lavoro WP29: Nella sezione 4.1 (il primo punto elenco sotto il titolo "Osservanza dei principi fondamentali in materia di protezione dei dati"), il gruppo di lavoro WP29 dichiara che "i fornitori cloud dovrebbero informare i clienti cloud in merito a tutti gli aspetti pertinenti (per la protezione dei dati) dei propri servizi... in particolare, i clienti dovrebbero essere informati in merito a tutti i subcontraenti che contribuiscono alla prestazione dei servizi cloud e a tutte le sedi presso le quali i dati possono essere archiviati o trattati dal fornitore cloud e/o di suoi subcontraenti". La sezione 3.4.1.1 (Trasparenza) sottolinea ulteriormente l'importanza della trasparenza nelle relazioni tra provider e clienti di servizi cloud.
Office 365: Microsoft rende disponibili le informazioni sulle proprie procedure di privacy e sicurezza nel Centro protezione di Office 365, che contiene informazioni su dove vengono archiviati i dati, chi può accedervi e in quali circostanze e quali subcontraenti sono coinvolti nell'elaborazione dei dati.
MostraNascondi
Il provider di servizi cloud usa i dati dei clienti per altri scopi o in altri modi oltre che per fornire il servizio? In questo caso, per quali scopi specifici? Ad esempio, i dati dei clienti verranno elaborati per creare profili da usare per annunci pubblicitari o per altri scopi commerciali? Oppure verranno divulgati in qualsiasi modo a terze parti, diverse dai subcontraenti o laddove richiesto per legge?
Riferimento al Parere del gruppo di lavoro WP29: Sezione 3.4.1.2 (Specificazione e limitazione della finalità). Il gruppo di lavoro WP29 dichiara che "i dati personali devono essere raccolti per finalità determinate, esplicite e legittimate e successivamente trattati in modo non incompatibile con tali finalità" e che i clienti di servizi cloud sono responsabili di "assicurarsi [...] che i dati personali non vengano (illegalmente) elaborati per altre finalità dal provider".
Office 365: nei servizi cloud di Microsoft per le aziende i dati dei clienti vengono usati solo per fornire i servizi. Ciò può includere procedure per la risoluzione di problemi volte a impedire, rilevare e correggere problemi che influiscono sul funzionamento dei servizi e sul miglioramento delle caratteristiche che implicano il rilevamento di, e la protezione da, minacce emergenti o in evoluzione (ad esempio, malware o posta indesiderata). Office 365 non realizza prodotti pubblicitari sfruttando i dati dei clienti. Posta elettronica e documenti non vengono in alcun modo analizzati a scopo di analisi, data mining o per sviluppare annunci pubblicitari, né per migliorare il servizio.
Microsoft non divulga i dati dei clienti a terze parti (incluse forze dell'ordine, altre entità governative o parti in causa in procedimenti civili, ad esclusione dei propri subcontraenti) se non su richiesta del cliente o laddove richiesto per legge.
MostraNascondi
Se il provider di servizi cloud si rivolge sia alle aziende che ai privati, combina i dati dei clienti aziendali con quelli che raccoglie dai servizi per utenti? In questo caso, con quali modalità e a che scopo?
Riferimento al Parere del gruppo di lavoro WP29: Sezione 3.4.1.2 (Specificazione e limitazione della finalità) e Sezione 3.3.1 (Cliente cloud e fornitore cloud).
Office 365: I server cloud aziendali di Microsoft sono separati a livello fisico e/logico da quelli destinati ai servizi online per privati. I dati dei clienti aziendali, i Microsoft Online Services per privati e i dati creati o derivanti da attività di analisi, indicizzazione o data mining di Microsoft non vengono combinati senza previa approvazione del cliente.
MostraNascondi
Il provider di servizi cloud analizza o sottopone a data mining i contenuti dei clienti, ad esempio comunicazioni tramite posta elettronica o documenti? In questo caso, a quale scopo?
Riferimento al Parere del gruppo di lavoro WP29: Sezione 3.4.1.2 (Specificazione e limitazione della finalità) e Sezione 3.3.1 (Cliente cloud e fornitore cloud).
Office 365: Microsoft non analizza messaggi di posta elettronica o documenti a scopi pubblicitari. I dati dei servizi aziendali Microsoft vengono mantenuti, analizzati e indicizzati per fornire caratteristiche avanzate che consentano ai clienti di accedervi e organizzarli. Gli utenti finali possono ad esempio cercare facilmente i loro documenti e altri tipi di contenuto in Office 365.
MostraNascondi
Se il provider di servizi cloud offre anche servizi per privati, combina i dati aziendali con quelli raccolti dai servizi per privati?
Riferimento al Parere del gruppo di lavoro WP29: Sezione 3.4.3 (Misure tecniche e organizzative per la protezione e la sicurezza dei dati).
Office 365: Il servizio commerciale di Office 365 è separato a livello logico dai servizi online per privati. I dati dei clienti aziendali e quelli dei servizi online per privati di Microsoft non vengono combinati senza previa approvazione del cliente.
MostraNascondi
Il provider di servizi cloud applica misure di protezione efficaci ai trasferimenti di dati nel cloud?
Il gruppo di lavoro WP29 conclude che i meccanismi tradizionali per il trasferimento dei dati al di fuori dell'area economica europea presentano "limitazioni" quando vengono applicati al cloud. Citando come esempio le linee guida Safe Harbor, il gruppo sottolinea come "la sola autocertificazione di conformità al Safe Harbor può non essere considerata sufficiente" per i trasferimenti di dati a provider con sede negli Stati Uniti. Ricorda inoltre ai clienti dei servizi cloud l'esigenza di verificare la conformità agli eventuali obblighi delle leggi locali applicabili.
Office 365 prevede un Contratto sull'elaborazione dati (Data Protection Agreement, DPA) completo e offre le clausole modello UE, oltre all'autocertificazione nell'ambito del quadro normativo Safe Harbor tra USA e UE. Mentre le clausole modello UE sono pensate specificamente per i clienti dell'Unione Europea, il contratto DPA rappresenta una combinazione di procedure consigliate relative alla privacy di diversi paesi ed è disponibile per tutti i clienti, indipendentemente dall'area geografica o dalle dimensioni. I processi sviluppati da Office 365 per la conformità alle clausole modello UE non sono limitati ai clienti dell'Unione Europea ma sono disponibili per tutti.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}