Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza
In Generale
Le Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza erano contenute in precedenza nell’Allegato 1 alle Condizioni per l’Utilizzo dei Servizi Online.
Le parti accettano che nel presente Addendum relativo alla Protezione dei Dati Personali o Addendum (definito nel Glossario) vengano stabilite le rispettive obbligazioni relativamente al trattamento e alla protezione dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali da parte dei Prodotti. L’Addendum relativo alla Protezione dei Dati Personali può essere scaricato qui https://aka.ms/DPA. Nell’eventualità di discrepanze o incoerenze tra le condizioni dell’Addendum e qualsiasi altra condizione del contratto di licenza della Società (incluse le presenti condizioni), le condizioni dell’Addendum avranno prevalenza.
Servizi Online esclusi dall’Addendum
Fatto salvo quanto stabilito nelle Condizioni Specifiche per Prodotto, le condizioni dell’Addendum non si applicano a: Piattaforma Bing Maps Mobile Asset Management, Bing Maps Transactions and Users, Servizi di Ricerca Bing, Servizi di Azure AI in contenitori installati sull’hardware dedicato della Società, Microsoft Copilot con protezione dei dati commerciali (in precedenza noto come Bing Chat Enterprise), Offerte GitHub, LinkedIn Sales Navigator, Microsoft Defender per IoT (ad esclusione di funzionalità connesse al cloud), Azure SQL Edge, Azure Stack HCI, Hub di Azure Stack, Microsoft Graph data connect per fornitori di software indipendenti, Genomica di Microsoft e Test di Visual Studio App Center. Ciascuno di tali Servizi Online è disciplinato dalle condizioni relative al diritto alla protezione dei dati personali e alla sicurezza contenute nelle Condizioni Specifiche per Prodotto.
Prodotti Software esclusi dall’Addendum
Fatto salvo quanto stabilito nelle Condizioni Specifiche per Prodotto, le condizioni dell’Addendum non si applicano: alle funzionalità basate su Internet nei Prodotti Software, nel Sistema Operativo Desktop Windows, in Windows Server e ai presenti Prodotti Software nell’ambito di altri Prodotti. Ciascuno di tali Prodotti è disciplinato dalle condizioni relative al diritto alla protezione dei dati personali e alla sicurezza contenute nelle Condizioni Specifiche per Prodotto.
Prodotti Non Microsoft
L’utilizzo di Prodotti Non Microsoft (come definiti nelle Condizioni Universali di Licenza per i Servizi Online) da parte della Società è disciplinato da condizioni specifiche, che includono condizioni relative al diritto alla protezione dei dati personali e alla sicurezza diverse.
Aree Geografiche Escluse dalle Condizioni dell’Addendum
Per i servizi online di Dynamics 365 e Power Platform, le condizioni specifiche dell’Addendum riportate nell’Appendice A in cui viene dichiarato “Microsoft archivia le copie dei Dati della Società e le procedure di ripristino dei dati in una posizione diversa dal luogo in cui si trovano le apparecchiature principali per il trattamento dei Dati della Società.” non si applicano alle seguenti aree geografiche: Emirati Arabi Uniti e Sud Africa.
Servizi Online Core
Il termine “Servizi Online Core ” si applica solo ai servizi della tabella sottostante, ad esclusione delle Anteprime.
| Servizi Online | |
|---|---|
| Servizi Core di Microsoft Dynamics 365 | I seguenti servizi, ognuno reso disponibile come servizio autonomo o incluso in un piano o un’applicazione con marchio Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations e Dynamics 365 Sales. Dynamics 365 Core Services non include (1) i Servizi Dynamics 365 per il software o i dispositivi supportati, tra cui, a titolo esemplificativo, Dynamics 365 per app, tablet, telefoni o alcuno di questi, (2) LinkedIn Sales Navigator né (3) fatto salvo quanto espressamente stabilito nelle condizioni di licenza per il servizio corrispondente, alcun altro servizio con marchio specifico reso disponibile con i Dynamics 365 Core Services o in relazione ad essi. |
| Servizi Office 365 | I servizi seguenti, ciascuno reso disponibile come servizio autonomo o incluso in un piano o una famiglia di prodotti con marchio Office 365 o Microsoft 365: Cortana, Customer Lockbox, Archiviazione Exchange Online, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Versione Classica), Microsoft Teams, Microsoft To-Do, Microsoft Defender per Office 365, Office per il web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise e Microsoft Copilot per Microsoft 365. I Servizi Office 365 non includono Microsoft 365 Apps for enterprise, alcun componente di un servizio PSTN operante al di fuori del controllo di Microsoft, alcun software client, né alcun servizio con marchio separato reso disponibile con un piano o una famiglia di prodotti con marchio Office 365 o Microsoft 365, ad esempio Bing o un servizio contrassegnato con “per Office 365”. |
| Servizi Conformità Microsoft 365 | I servizi seguenti, ognuno reso disponibile come servizio autonomo o incluso in un piano o una famiglia di prodotti con marchio Microsoft 365: Microsoft Purview Customer Lockbox, Prevenzione della Perdita dei Dati Microsoft Purview, Microsoft Purview Customer Key, Gestione del Ciclo di Vita dei Dati di Microsoft Purview, Barriere Informative Microsoft Purview, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Gestione dei Rischi Insider Microsoft Purview, Conformità delle Comunicazioni Microsoft Purview, Gestione Record Microsoft Purview, Microsoft Purview eDiscovery, Microsoft Purview Audit, Gestione dei Rischi per la Privacy Microsoft Priva e Richieste di Diritti degli Interessati Microsoft Priva. |
| Microsoft Azure Core Services | Azure per Intelligenza Artificiale, Azure Active Directory B2C, Rilevamento Anomalie, Gestione API, Assistenza per le App (App delle API, App di Logica, App per i Dispositivi Mobili, Processi Web, Funzioni), Lab Services, Gateway Applicativo, Monitoraggio di Azure, Automazione, API di Azure per FHIR, Configurazione App di Azure, Servizio di Azure AI Bot, Cache di Azure per Redis, Ricerca di Intelligenza Artificiale di Azure, Servizi di Comunicazione di Azure, App Contenitore di Azure, Istanze di Azure Container, Registro Azure Container (ACR), Azure Cosmos DB, Esplora Dati di Azure, Database di Azure per MySQL, Database di Azure per PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Griglia di Eventi di Azure, Microsoft Fabric, Firewall di Azure, Informazioni sui Documenti di Azure AI, Servizi per i Dati Sanitari di Azure, Lettore Immersivo per Azure AI, Servizio Azure Kubernetes, Grafana con Gestione Azure, Azure Machine Learning, Advisor Metriche di Azure AI, Azure NetApp Files, Servizio OpenAI di Azure, Azure Red Hat OpenShift, Soluzione Azure VMware, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Dati Analitici sul Patrimonio Dati di Microsoft Purview, Microsoft Purview Data Policies, Condivisione dei Dati di Microsoft Purview, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Video Indexer di Azure AI, Azure Web PubSub, Backup, Batch, Servizi Cloud, Visione Artificiale, Content Moderator, Visione Personalizzata di Azure AI, Data Factory, Data Lake Analytics, Data Lake Store, Hub Eventi, Express Route, Viso, HDInsight, Importazione/Esportazione, Hub IoT, Key Vault, Language Understanding, Bilanciamento del Carico, Azure Machine Learning Studio (versione classica), Servizi Multimediali, Portale Microsoft Azure, Hub di Notifica, Personalizza Esperienze di Azure AI, Power BI Embedded, QnA Maker, Microsoft Defender per il Cloud, Bus di Servizio, Connettore di Servizi, Service Fabric, Servizio Azure SignalR, Ripristino Sito, Servizi di Sintesi Vocale, SQL Database, Istanza Gestita di SQL, SQL Server Stretch Database, Storage, StorSimple, Analisi di Flusso, Synapse Analytics, Analisi del Testo, Gestione Traffico, Traduttore per Azure AI, Macchine Virtuali, Set di Scalabilità di Macchine Virtuali, Rete Virtuale e Gateway VPN. |
| Microsoft Defender for Cloud Apps | Il componente del servizio cloud di Microsoft Defender for Cloud Apps (in precedenza Microsoft Cloud App Security). |
| Servizi Online Microsoft Intune | Componente del servizio cloud di Microsoft Intune. |
| Servizi di Base della Piattaforma di Microsoft Power | I servizi seguenti, ciascuno reso disponibile come servizio autonomo o incluso in un piano o una famiglia di prodotti con marchio Office 365 o Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages e Microsoft Copilot Studio. Microsoft Power Platform Core Services non include alcun software client, tra cui, a titolo esemplificativo, Power BI Report Server, le applicazioni mobili Power BI, PowerApps o Microsoft Power Automate, Power BI Desktop o Power Apps Studio. |
| Servizi Microsoft Defender per Endpoint | Componente dei servizi cloud di Microsoft Defender per Endpoint. |
| Microsoft Defender per Identità | Componente dei servizi cloud di Microsoft Defender per Identità. |
| Microsoft Defender XDR | Componente del servizio cloud di Microsoft Defender XDR. |
| Windows 365 | Componente del servizio cloud di Windows 365, ad esclusione del sistema operativo Windows in esecuzione su Windows 365 Cloud PC. |
Procedure e Criteri di Sicurezza per i Servizi Online Core.
In aggiunta alle procedure e ai criteri di sicurezza per i Servizi Online nell’Addendum, ciascun Servizio Online Core aderisce anche agli standard e ai framework di controllo riportati nella tabella che segue e implementa e assicura le misure di sicurezza stabilite nell’Appendice A dell’Addendum per la protezione dei Dati della Società.
| Servizio Online | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Servizi Office 365 | Sì | Sì |
| Servizi Conformità Microsoft 365 | Sì | Sì |
| Servizi Core di Microsoft Dynamics 365 | Sì | Sì |
| Microsoft Azure Core Services | Variabili* | Variabili* |
| Microsoft Defender for Cloud Apps | Sì | Sì |
| Servizi Online Microsoft Intune | Sì | Sì |
| Servizi di Base della Piattaforma di Microsoft Power | Sì | Sì |
| Servizi Microsoft Defender per Endpoint | Sì | Sì |
| Microsoft Defender per Identità | Sì | Sì |
| Microsoft Defender XDR | Sì | Sì |
| Windows 365 | Sì | Sì |
* L’ambito attuale è illustrato in dettaglio nel rapporto di audit e riepilogato nel Centro Protezione di Microsoft.
Posizione dei Dati della Società Inattivi per i Servizi Online Core
Per quanto riguarda i Servizi Online Core, Microsoft archivierà i Dati della Società inattivi in alcune aree geografiche importanti (ciascuna, un’Area Geografica) indicate di seguito, fatto salvo quanto diversamente stabilito nelle condizioni specifiche per l’Utilizzo dei Servizi Online:
- Servizi Office 365. Qualora la Società effettui il provisioning del proprio tenant in Australia, Brasile, Canada, Corea del Sud, Emirati Arabi Uniti, Francia, Germania, Giappone, India, Norvegia, Qatar, Regno Unito, Stati Uniti, Sudafrica, Svezia, Svizzera o Unione Europea, Microsoft archivierà i seguenti Dati della Società Inattivi solo all’interno di tale Area Geografica: (1) il contenuto della cassetta postale di Exchange Online (corpo del messaggio e-mail, voci del calendario e contenuto degli allegati e-mail), (2) il contenuto del sito SharePoint Online e i file archiviati su tale sito e (3) i file caricati su OneDrive for Business, (4) i messaggi chat di Microsoft Teams (inclusi i messaggi privati, i messaggi dei canali, i messaggi delle riunioni e le immagini utilizzate nelle chat) e, per le società che usano Microsoft Stream (Versione Classica) (basato su SharePoint), le registrazioni delle riunioni e (5) qualsiasi contenuto archiviato delle interazioni con Microsoft Copilot per Microsoft 365 nella misura in cui non sia incluso negli impegni precedenti. Qualora la Società acquisti una sottoscrizione Residenza dei Dati Avanzata, Microsoft archivierà determinati Dati della Società inattivi nell’Area Geografica applicabile in conformità al presente Articolo e all’Articolo “Impegni della Residenza dei Dati Avanzati” della documentazione del prodotto all’indirizzo https://aka.ms/adroverview.
- Servizi Online Microsoft Intune. Quando la Società effettua il provisioning di un account del tenant di Microsoft Intune da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Intune.
- Servizi di Base di Microsoft Power Platform. Quando la Società effettua il provisioning di un Servizio di Base di Power Platform da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Power Platform.
- Microsoft Azure Core Services. Qualora la Società configuri un particolare servizio da distribuire all’interno di un’Area Geografica, per tale servizio Microsoft archivierà i Dati della Società a riposo all’interno dell’Area Geografica specificata. Determinati servizi potrebbero non consentire alla Società di configurare la distribuzione in un’Area Geografica particolare o al di fuori degli Stati Uniti e potrebbero archiviare i backup in altre posizioni. Per maggiori dettagli la Società potrà fare riferimento al Centro Protezione di Microsoft (che Microsoft potrà di volta in volta aggiornare, senza aggiungere eccezioni ai Servizi esistenti nella versione generale).
- Microsoft Defender for Cloud Apps. Qualora la Società effettui il provisioning del proprio tenant nell’Unione Europea o negli Stati Uniti, Microsoft archivierà i Dati della Società Inattivi solo all’interno di tale Area Geografica, fatto salvo quanto descritto nel Centro Protezione di Microsoft Defender for Cloud Apps.
- Servizi Core di Microsoft Dynamics 365. Quando la Società effettua il provisioning di un Servizio Core di Microsoft Dynamics 365 da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Dynamics 365.
- Servizi Microsoft Defender per Endpoint. Quando la Società effettua il provisioning di un tenant di Microsoft Defender per Endpoint da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Defender per Endpoint.
- Microsoft Defender per Identità. Quando la Società effettua il provisioning di un tenant di Microsoft Defender per Identità da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Defender per Identità.
- Microsoft Defender XDR. Quando la Società effettua il provisioning di un tenant di Microsoft Defender XDR da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Defender XDR.
- Windows 365. Quando un tenant di Windows 365 viene distribuito all’interno di un’Area Geografica disponibile, per tale tenant Microsoft archivierà i Dati della Società Inattivi all’interno dell’Area Geografica specificata. Qualora la Società effettui il provisioning di Windows 365 Cloud PC all’interno dello stesso tenant verso Aree Geografiche disponibili differenti, per ciascun Cloud PC Microsoft archivierà i Dati della Società inattivi di Cloud PC all’interno dell’Area Geografica specificata.
Servizi di EU Data Boundary
Il termine “EU Data Boundary” indica i computer, l’ambiente informatico e i data center fisici di Microsoft ubicati esclusivamente nell’Unione Europea (UE) e nell’Associazione Europea per il Libero Scambio (European Free Trade Association o “EFTA”). Il termine “Servizi di EU Data Boundary” si applica solo ai Servizi Online della tabella sottostante, ad esclusione delle Anteprime.
| Servizi di EU Data Boundary | |
|---|---|
| Azure | Servizi di Azure che consentono la distribuzione in un’area geografica all’interno dell’EU Data Boundary e i seguenti servizi che non rientrano nell’area geografica: Azure Active Directory B2C, Azure Advisor, Servizio Azure Bot, Cloud Shell, Servizi di Comunicazione di Azure, Azure Data Box, DNS di Azure, Microsoft Entra ID, Microsoft Fabric, Servizio Azure Kubernetes in Azure Stack HCI, Azure Lighthouse, Azure Migrate, Monitoraggio di Azure, Spostamento Risorse di Azure, Integrità dei Servizi di Azure, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Hub di Azure Stack, Desktop Virtuale Azure, Image Builder per Macchine Virtuali di Azure, Power BI Embedded, Gestione traffico, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Archiviazione Exchange Online per Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Versione Classica) (basato su SharePoint), Microsoft Teams, Microsoft To-Do, Office per il web, Servizi Online erogati nell’ambito di Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot per Microsoft 365, Conformità alle Comunicazioni, eDiscovery and Audit, Gestione dei Rischi Insider, Barriere Informative, Prevenzione della Perdita dei Dati Microsoft Purview, Microsoft Intune, Gestione dei Rischi per la Privacy Priva, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insight, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales e Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Posizione dei Dati della Società per i Servizi di EU Data Boundary
Per i Servizi di EU Data Boundary, Microsoft archivierà e tratterà i Dati della Società e i Dati Personali all’interno dell’EU Data Boundary come descritto di seguito.
La Società dovrà configurare i Servizi di EU Data Boundary come segue:
- Per quanto riguarda Azure, la Società dovrà distribuire il servizio in un’area geografica di Azure ubicata all’interno dell’EU Data Boundary. Per ulteriori informazioni, vedere Residenza dei Dati in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Per quanto riguarda i servizi che non consentono la distribuzione in un’area geografica specificata di Azure, la Società dovrà attenersi alle istruzioni della pagina Configuring Azure non-regional services for the EU Data Boundary (Configurazione dei Servizi di Azure Esterni all’Area Geografica per l’EU Data Boundary) all’indirizzo (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Per quanto riguarda Dynamics 365 e Power Platform, nel caso in cui la Società effettui il provisioning di un tenant con un indirizzo di fatturazione nell’UE o nell’EFTA, tale tenant rientrerà nell’ambito dell’EU Data Boundary qualora la Società crei anche tutti i suoi ambienti in un’Area Geografica all’interno dell’EU Data Boundary.
- Per quanto riguarda Microsoft 365, nel caso in cui la Società effettui il provisioning di un tenant nell’UE o nell’EFTA, tale tenant rientrerà nell’ambito dell’EU Data Boundary. Verranno esclusi quei tenant nei quali la Società ha acquistato anche il componente aggiuntivo Microsoft 365 Multi-Geo Capabilities che consente alle società di espandere la presenza dei tenant di Microsoft 365 a più aree geografiche o paesi (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
L’utilizzo dei Servizi di EU Data Boundary potrà avere come conseguenza trasferimenti limitati di Dati della Società o di Dati Personali al di fuori dell’EU Data Boundary, come stabilito di seguito e illustrato più in dettaglio nella documentazione relativa alla trasparenza per l’EU Data Boundary disponibile all’indirizzo https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn o in una posizione che verrà definita in seguito. I trasferimenti di questo tipo verranno effettuati in conformità all’Addendum relativo alla Protezione dei Dati Personali e alle Condizioni relative all’Utilizzo dei Prodotti.
- Accesso Remoto. Il personale Microsoft che si trova al di fuori dell’EU Data Boundary potrà accedere da remoto ai sistemi per il trattamento dei dati nell’EU Data Boundary nella misura necessaria per gestire e proteggere i Servizi di EU Data Boundary, nonché per risolvere eventuali problemi.
- Trasferimenti Avviati dalle Società. Le Società potranno avviare trasferimenti al di fuori dell’EU Data Boundary, ad esempio accedendo ai Servizi di EU Data Boundary da posizioni al di fuori dell’EU Data Boundary, inviando un messaggio e-mail a un destinatario situato al di fuori dell’EU Data Boundary, oppure potranno utilizzare i Servizi di EU Data Boundary insieme ad altri servizi che non si trovano nell’EU Data Boundary.
- Protezione delle Società. Microsoft trasferisce i dati limitati al di fuori dell’EU Data Boundary nella misura necessaria a rilevare e proteggere le Società da minacce alla sicurezza.
- Dati della Directory. Microsoft potrà replicare i dati della directory Microsoft Entra limitati tramite Microsoft Entra ID (inclusi nome utente e indirizzo e-mail) al di fuori dell’EU Data Boundary per erogare il servizio.
- Transito in Rete. Per ridurre la latenza del routing e mantenerne la resilienza, Microsoft utilizza percorsi di rete variabili che potranno occasionalmente comportare il transito di dati al di fuori dell’EU Data Boundary.
- Qualità e Gestione dei Servizi e delle Piattaforme. Qualora sia necessario per monitorare e garantire la qualità dei servizi o per assicurare l’accuratezza delle rilevazioni statistiche sull’utilizzo o sulle prestazioni dei servizi, i Dati Personali pseudonimizzati potranno essere trasferiti al di fuori dell’EU Data Boundary.
- Trasferimenti Specifici del Servizio. Vedere la documentazione relativa alla trasparenza indicata sopra per informazioni sui trasferimenti applicabili ai Servizi di EU Data Boundary.