Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza

In Generale

Le Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza erano contenute in precedenza nell’Allegato 1 alle Condizioni per l’Utilizzo dei Servizi Online.

Le parti accettano che nel presente Addendum relativo alla Protezione dei Dati Personali o Addendum (definito nel Glossario) vengano stabilite le rispettive obbligazioni relativamente al trattamento e alla protezione dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali da parte dei Prodotti. L’Addendum relativo alla Protezione dei Dati Personali può essere scaricato qui https://aka.ms/DPA. Nell’eventualità di discrepanze o incoerenze tra le condizioni dell’Addendum e qualsiasi altra condizione del contratto di licenza della Società (incluse le presenti condizioni), le condizioni dell’Addendum avranno prevalenza.

Eccezioni all’Addendum

Le Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza nella tabella che segue modificano o integrano l’Addendum per ciascuno dei Servizi Online indicati.

Famiglia di Prodotti	Servizio Online	Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza
Microsoft Azure	Servizi di Azure AI	Servizi in Contenitori Poiché l’ambiente operativo dei contenitori installati nell’hardware dedicato della Società non è sotto il controllo di Microsoft, le condizioni dell’Addendum non si applicano a tali contenitori, tranne nei casi in cui a) vengano raccolti Dati Personali in relazione a un endpoint di fatturazione o b) vengano forniti a Microsoft Dati della Società per una formazione basata su modelli personalizzati prima del download del Servizio in funzione nel contenitore.
	Servizi di Azure AI	Configurazioni e Modelli Personalizzati Inattivi dei Servizi Ai fini della conservazione e dell’eliminazione dei dati, una configurazione o un modello personalizzato dei Servizi che è stato inattivo potrà essere trattato, a discrezione di Microsoft, come un Servizio Online, di cui, alla Società, è scaduta la sottoscrizione. Una configurazione o un modello personalizzato è inattivo nel caso in cui da 90 giorni (1) non riceva chiamate, (2) non sia stato modificato né gli sia stata assegnata una chiave aggiornata e (3) la Società non vi abbia effettuato l’accesso.
	Connettori di Analisi Multi-Cloud per Microsoft Purview	Per abilitare l’interoperabilità tra le distribuzioni della Società e altri provider di servizi cloud, Microsoft potrà utilizzare all’interno di tali altri cloud determinate funzionalità di analisi dei dati opzionali e specifiche per i dati della Società ospitati nei suddetti cloud (i “Connettori di Analisi Multi-Cloud per Microsoft Purview”). Microsoft spiegherà nella propria documentazione in che modo la Società potrà abilitare e utilizzare i Connettori di Analisi Multi-Cloud per Microsoft Purview. Per maggiore chiarezza, i Connettori di Analisi Multi-Cloud per Microsoft Purview sono un componente aggiuntivo separato di Microsoft Purview. Il componente aggiuntivo Connettori di Analisi Multi-Cloud per Microsoft Purview non è un Servizio di Base di Microsoft Azure e i seguenti Articoli dell’Addendum non si applicano ad esso: “Istituti Didattici”, “Contratto della Società per CJIS”, “Società in Affari HIPAA” e “Appendice A: Misure di Sicurezza”. Riguardo esclusivamente ai Connettori di Analisi Multi-Cloud per Microsoft Purview, si applicano le seguenti modifiche all’Addendum: Accesso ai Dati: Microsoft ricorre a una quantità minima di meccanismi di accesso con privilegi per controllare l’accesso ai Dati della Società (inclusi i Dati Personali ivi contenuti). Microsoft ricorre ai controlli degli accessi basati sui ruoli per garantire che l’accesso da parte sua ai Dati della Società necessario per il funzionamento dei servizi avvenga per uno scopo appropriato e approvato con la supervisione dirigenziale. Verifica della Conformità: gli impegni di Microsoft stabiliti all’Articolo Verifica della Conformità dell’Addendum non si estendono a computer, ambienti informatici o data center fisici di terzi utilizzati dai Connettori di Analisi Multi-Cloud per Microsoft Purview. Le condizioni standard per la protezione dei dati personali offerte dai suddetti altri provider di servizi cloud disciplinano l’utilizzo dei Connettori di Analisi Multi-Cloud per Microsoft Purview mentre il componente aggiuntivo è ospitato nei suddetti altri cloud.
	Visual Studio App Center	L’informativa sulla privacy disponibile all’indirizzo https://aka.ms/actestprivacypolicy si applica all’utilizzo da parte della Società della funzionalità Test di Visual Studio App Center. La Società non potrà utilizzare la funzionalità Test di Visual Studio App Center per archiviare o trattare Dati Personali.
	Istanza Gestita di SQL abilitata da Azure Arc	Le condizioni dell’Addendum non si applicano al trattamento dei dati nell’Istanza Gestita di SQL abilitata da Azure Arc in esecuzione in un ambiente non soggetto al controllo di Microsoft, tranne nei casi in cui i Dati Personali vengano raccolti per abilitare i servizi di gestione di Azure e per misurare il consumo ai fini della fatturazione.
	Genomica di Microsoft	L’Informativa sulla Privacy di Microsoft, disponibile all’indirizzo https://aka.ms/privacy, e non l’Addendum, si applica all’utilizzo di Genomica di Microsoft da parte della Società, fatto salvo per il presente Articolo relativo a Genomica di Microsoft che ha prevalenza nell’eventualità di una discrepanza con l’Informativa sulla Privacy di Microsoft. Condizioni di Licenza di Broad Genomica di Microsoft include l’accesso al toolkit Genetic Analysis Toolkit (GATK) di Broad Institute, Inc. (“Broad”). L’utilizzo del GATK e dell’eventuale documentazione correlata nell’ambito di Genomica di Microsoft è soggetto anche al Contratto di Licenza con l’Utente Finale per il GATK di Broad (“Contratto di Licenza di Broad” disponibile all’indirizzo https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft potrà raccogliere e condividere con Broad alcuni dati statistici e tecnici relativamente all’utilizzo del GATK da parte della Società. La Società autorizza Microsoft a riferire a Broad il proprio stato in qualità di utente del GATK in Genomica di Microsoft.
	Azure SQL Edge	Le condizioni dell’Addendum non si applicano ad Azure SQL Edge installato sul Dispositivo IoT della Società, tranne nei casi in cui i Dati Personali vengano raccolti per abilitare i servizi di gestione di Azure e per misurare il consumo ai fini della fatturazione, poiché l’ambiente operativo di tali Dispositivi IoT non è sotto il controllo di Microsoft.
	Azure Stack HCI	Microsoft agirà in qualità di titolare del trattamento dei Dati Personali quando le società attiveranno la raccolta dei dati diagnostici di Windows come descritto nella documentazione dei Prodotti. Quando Microsoft agirà in qualità di titolare del trattamento dei dati, gestirà tali Dati Personali in conformità all’Informativa sulla Privacy di Microsoft disponibile all’indirizzo aka.ms/privacy e le condizioni dell’Addendum relativo alla Protezione dei Dati Personali non si applicheranno.
	Hub di Azure Stack	Microsoft agirà in qualità di titolare del trattamento dei Dati Personali quando le società attiveranno la raccolta dei dati diagnostici di Windows come descritto nella documentazione dei Prodotti. Quando Microsoft agirà in qualità di titolare del trattamento dei dati, gestirà tali Dati Personali in conformità all’Informativa sulla Privacy di Microsoft disponibile all’indirizzo aka.ms/privacy e le condizioni dell’Addendum relativo alla Protezione dei Dati Personali non si applicheranno. Qualora una Società titolare di un Contratto Microsoft Cloud o di un Contratto Microsoft per la Società utilizzi il software o i servizi dell’Hub di Azure Stack ospitati da un Rivenditore, tale uso sarà soggetto alle procedure relative al diritto alla protezione dei dati personali del Rivenditore, che potrebbero differire da quelle di Microsoft.
	Soluzione Azure VMware	Trasferimento dei Dati dei Servizi Professionali in VMware Qualora la Società contatti Microsoft per ottenere supporto tecnico in merito alla Soluzione Azure VMware e Microsoft debba coinvolgere VMware per risolvere il problema, Microsoft trasferirà i Dati dei Servizi Professionali e i Dati Personali relativi al caso per cui è richiesta assistenza a VMware. Il trasferimento è soggetto alle condizioni del Contratto per il Trasferimento del Supporto Tecnico tra VMware e Microsoft, ai sensi del quale Microsoft e VMware sono responsabili autonomi del trattamento dei Dati dei Servizi Professionali. Prima che abbia luogo il trasferimento di Dati dei Servizi Professionali a VMware, Microsoft otterrà e registrerà il consenso della società per il trasferimento. Contratto per il Trattamento dei Dati da parte di VMware Una volta trasferiti i Dati dei Servizi Professionali a VMware (in conformità al precedente Articolo), il trattamento dei Dati dei Servizi Professionali, inclusi i Dati Personali relativi al caso per cui è richiesta assistenza, da parte di VMware in qualità di responsabile autonomo del trattamento sarà disciplinato dal Contratto per il Trattamento dei Dati da parte di VMWare per le Società in possesso della Soluzione Azure VMware di Microsoft Trasferite per ricevere il Supporto Tecnico L3 (https://rc.portal.azure.com/verifyLink?href=https%3A%2F%2Fwww.vmware.com%2Fvmware-dpa-for-avs-customers.html&id=Microsoft_Azure_Marketplace). La Società autorizza inoltre i propri rappresentanti che richiedono supporto tecnico per la Soluzione Azure VMware a dare il consenso a suo nome a Microsoft per il trasferimento dei Dati dei Servizi Professionali a VMware.
Bing	Bing	L’Addendum relativo alla Protezione dei Dati Personali non si applica ai Servizi di Ricerca Bing né all’utilizzo di Bing all’interno di un Prodotto. A qualsiasi componente di un Prodotto gestito da Bing, come indicato nella documentazione del prodotto, si applica l’Informativa sulla Privacy di Microsoft (https://privacy.microsoft.com/privacystatement).
GitHub	Offerte di GitHub	Nonostante quanto diversamente previsto nel contratto multilicenza della Società (incluse le presenti Condizioni per l’Utilizzo dei Prodotti e l’Addendum), l’Informativa sulla Privacy di GitHub (https://aka.ms/github_privacy) e il Contratto per la Protezione dei Dati Personali di GitHub (https://aka.ms/github_dpa) si applicheranno all’utilizzo, da parte della Società, delle Offerte di GitHub, incluso GitHub Enterprise concesso in licenza in modo autonomo o come Visual Studio Enterprise o Professional con GitHub Enterprise.
Servizi Office 365	Office 365 Education	Qualora il provisioning della Società avvenga al di fuori dell’UE o dell’EFTA e la Società sia in possesso di una sottoscrizione di Office 365 Education senza avere acquistato un componente aggiuntivo Residenza dei Dati Avanzata per l’Istruzione, Microsoft potrà eseguire il provisioning del tenant Office 365 Education della Società nell’Unione Europea o nel Nord America, trasferirvi i Dati della Società e archiviare i Dati della Società inattivi in qualsiasi luogo all’interno di tali aree geografiche, nonostante l’Articolo “Posizione dei Dati della Società Inattivi per i Servizi Online Core” delle Condizioni per l’Utilizzo dei Prodotti. Qualora il provisioning della Società avvenga all’interno dell’UE o dell’EFTA e la Società sia in possesso di una sottoscrizione di Office 365 Education senza avere acquistato un componente aggiuntivo Residenza dei Dati Avanzata per l’Istruzione, Microsoft potrà eseguire il provisioning del tenant Office 365 Education della Società nell’Unione Europea, trasferirvi i Dati della Società e archiviare i Dati della Società inattivi in qualsiasi luogo all’interno di tale area geografica, nonostante l’Articolo “Posizione dei Dati della Società inattivi per i Servizi Online Core” delle Condizioni per l’Utilizzo dei Prodotti.
Servizi Microsoft Dynamics 365	Dynamics 365 Business Central e Dynamics 365 Finance in Danimarca	Leggi e Regolamenti in Materia di Contabilità Le presenti condizioni si applicano solo alle Società con un’organizzazione in Danimarca come richiesto ai sensi del Bookkeeping Act (Legge di Contabilità). L’Addendum disciplina il modo in cui Microsoft gestisce i Dati della Società in Dynamics 365 Business Central e Dynamics 365 Finance, fatta eccezione per la conservazione, l’eliminazione e la divulgazione di Documentazione Contabile. Nell’eventualità di discrepanze o incoerenze tra le condizioni dell’Addendum e qualsiasi altra condizione del contratto di licenza della Società, le presenti condizioni avranno prevalenza. Definizioni “Documentazione Contabile” indica tutti i documenti che costituiscono la contabilità, tra cui qualsiasi transazione e ricevuta registrata e altri dati (inclusi i Dati Personali), di un’organizzazione, che la Società fornisce o che vengono forniti per conto della Società in un Sistema di Contabilità Digitale Standard, come richiesto dal Bookkeeping Act. “Bookkeeping Act” indica il Danish Bookkeeping Act del 24 maggio 2022 e tutte le ordinanze esecutive emanate che regolano le obbligazioni in materia di contabilità delle organizzazioni e dei fornitori di Sistemi di Contabilità Digitale Standard in Danimarca. “Autorità Danese” indica qualsiasi (i) autorità pubblica danese in possesso del diritto legale necessario per ispezionare un’organizzazione e richiederne la Documentazione Contabile ai sensi del Bookkeeping Act o di altra legge pertinente o (ii) liquidatore, curatore fallimentare o riorganizzatore che abbia assunto la gestione dell’organizzazione. “Sistema di Contabilità Digitale Standard” indica un software o un servizio digitale contenente funzioni che consentono alle organizzazioni di registrare e conservare Documentazione Contabile, o almeno una copia di backup completa di tale documentazione, su un server ospitato dal fornitore o da altro terzo in conformità ai regolamenti e agli standard del Bookkeeping Act. Conservazione ed Eliminazione dei Dati della Documentazione Contabile Utilizzando Dynamics 365 Business Central o Dynamics 365 Finance, la Società accetta che Microsoft o le sue consociate, in conformità alle rispettive obbligazioni di legge, possano duplicare, archiviare e conservare la sua Documentazione Contabile per 5 anni a partire dalla fine dell’esercizio finanziario delle transazioni e delle ricevute registrate correlate (“Periodo di Conservazione”), anche nel caso in cui la Società cambi il proprio sistema di contabilità, dichiari bancarotta o venga liquidata, come previsto dal Bookkeeping Act. Microsoft archivierà la Documentazione Contabile della Società in un archivio gestito da Microsoft stessa nella medesima sede in cui si trova l’apparecchiatura principale che esegue il trattamento dei Dati della Società per tali servizi o nell’Unione Europea. Durante il Periodo di Conservazione la Società non può accedere, estrarre, correggere né eliminare alcun documento della propria Documentazione Contabile da tale archivio. Microsoft adotterà le stesse misure di sicurezza per proteggere la Documentazione Contabile della Società che utilizza per proteggere altri Dati della Società. Al termine del Periodo di Conservazione, Microsoft eliminerà la Documentazione Contabile della Società. Microsoft non è in alcun modo responsabile dell’eliminazione della Documentazione Contabile della Società. Divulgazione di Documentazione Contabile Microsoft divulgherà la Documentazione Contabile della Società alle Autorità Danesi o consentirà loro l’accesso a tale documentazione nella misura necessaria a soddisfare una richiesta di divulgazione ai sensi del Bookkeeping Act. Gli altri dati che una Società archivia in tali Sistemi di Contabilità Digitale Standard non sono soggetti a divulgazione. Le Autorità Danesi sono autorizzate a richiedere la Documentazione Contabile ai fornitori di Sistemi di Contabilità Digitale Standard solo nel caso in cui non sia possibile ottenere le informazioni direttamente dall’organizzazione. Microsoft non è in alcun modo responsabile della divulgazione della Documentazione Contabile della Società alle Autorità Danesi.
Servizi Microsoft Dynamics 365	Microsoft Relationship Sales	LinkedIn Sales Navigator L’applicazione LinkedIn Sales Navigator è fornita da LinkedIn Corporation. La Società potrà utilizzare il Servizio LinkedIn Sales Navigator solo per generare clienti potenziali. Ciascun utente di LinkedIn Sales Navigator dovrà essere un membro di LinkedIn e accettare di essere vincolato dal Contratto di Licenza di LinkedIn disponibile all’indirizzo https://www.linkedin.com/legal/preview/user-agreement. Nonostante quanto diversamente previsto nel contratto multilicenza della Società (incluse le presenti Condizioni per l’Utilizzo dei Prodotti), l’Informativa sulla Privacy di LinkedIn disponibile all’indirizzo https://www.linkedin.com/legal/privacy-policy si applicherà all’utilizzo del servizio LinkedIn Sales Navigator da parte della Società. LinkedIn Corporation (in qualità di responsabile del trattamento dei dati) e la Società (in qualità di titolare del trattamento dei dati) si conformeranno alle condizioni del Contratto per il Trattamento dei Dati di LinkedIn disponibili all’indirizzo https://legal.linkedin.com/dpa.
Microsoft 365	Servizi Legacy di Glint	L’accesso da parte della Società ai Servizi Legacy di Glint e il relativo utilizzo sono disciplinati dalle condizioni stabilite nel Modulo d’Ordine LinkedIn attivo più recente della Società per i Servizi Legacy di Glint. Nessuna condizione di Microsoft, tra cui, a titolo esemplificativo, le Condizioni per l’Utilizzo dei Prodotti Microsoft, l’Addendum o qualsiasi contratto stipulato tra la Società e Microsoft si applicherà ai Servizi Legacy di Glint.
Altri Servizi Online	Microsoft Intune	Qualora l’App del Portale Aziendale Intune venga utilizzata per gestire dispositivi, le condizioni applicabili ai Servizi Online Microsoft Intune (secondo la definizione fornita nella tabella Servizi Online Core delle presenti Condizioni relative al Diritto alla Protezione dei Dati Personali e alla Sicurezza) sono valide per l’uso dell’App Portale Aziendale Intune. Gli impegni di Microsoft relativi all’App Portale Aziendale Intune non si estendono al trattamento dei dati, alle informative o alle procedure di provider di terzi di piattaforme mobili sulle quali l’App Portale Aziendale Intune è in esecuzione (ad esempio, Apple, Google).
Altri Servizi Online	Dispositivi e Applicazioni Gestiti	Microsoft Managed Desktop (MMD) integra i dati (inclusi i Dati della Società) in altri Prodotti Microsoft, tra cui Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender per Endpoint, Office, e in altri eventuali Servizi Online configurati dalla Società (collettivamente, ai fini dell’interpretazione della presente disposizione, i “Servizi Integrati MMD”). Una volta trasferiti nei Servizi Integrati MMD, tali dati vengono disciplinati dalle Condizioni per l’Utilizzo dei Prodotti applicabili al servizio in cui risiedono.

Prodotti Software esclusi dall’Addendum

Fatto salvo quanto stabilito nelle Condizioni Specifiche per Prodotto, le condizioni dell’Addendum non si applicano a: alle funzionalità basate su Internet nei Prodotti Software, nel Sistema Operativo Desktop Windows, in Windows Server e ai presenti Prodotti Software nell’ambito di altri Prodotti. Ciascuno di tali Prodotti è disciplinato dalle condizioni relative al diritto alla protezione dei dati personali e alla sicurezza contenute nelle Condizioni Specifiche per Prodotto.

Prodotti Non Microsoft

L’utilizzo di Prodotti Non Microsoft (come definiti nelle Condizioni Universali di Licenza per i Servizi Online) da parte della Società è disciplinato da condizioni specifiche, che includono condizioni relative al diritto alla protezione dei dati personali e alla sicurezza diverse.

Aree Geografiche Escluse dalle Condizioni dell’Addendum

Per i servizi online di Dynamics 365 e Power Platform, le condizioni specifiche dell’Addendum riportate nell’Appendice A in cui viene dichiarato “Microsoft archivia le copie dei Dati della Società e le procedure di ripristino dei dati in una posizione diversa dal luogo in cui si trovano le apparecchiature principali per il trattamento dei Dati della Società.” non si applicano alle seguenti aree geografiche: Emirati Arabi Uniti e Sud Africa.

Servizi Online Core

Il termine “Servizi Online Core ” si applica solo ai servizi della tabella sottostante, ad esclusione delle Anteprime.

Servizi Online
Servizi Core di Microsoft Dynamics 365	I seguenti servizi, ognuno reso disponibile come servizio autonomo o incluso in un piano o un’applicazione con marchio Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations e Dynamics 365 Sales. Dynamics 365 Core Services non include (1) i Servizi Dynamics 365 per il software o i dispositivi supportati, tra cui, a titolo esemplificativo, Dynamics 365 per app, tablet, telefoni o alcuno di questi, (2) LinkedIn Sales Navigator né (3) fatto salvo quanto espressamente stabilito nelle condizioni di licenza per il servizio corrispondente, alcun altro servizio con marchio specifico reso disponibile con i Dynamics 365 Core Services o in relazione ad essi.
Servizi Office 365	I servizi seguenti, ciascuno reso disponibile come servizio autonomo o incluso in un piano o una famiglia di prodotti con marchio Office 365 o Microsoft 365: Customer Lockbox, Archiviazione Exchange Online, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Versione Classica), Microsoft Teams, Microsoft To-Do, Microsoft Defender per Office 365, Office per il web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage e Microsoft 365 Copilot. I Servizi Office 365 non includono Microsoft 365 Apps for enterprise, alcun componente di un servizio PSTN operante al di fuori del controllo di Microsoft, alcun software client, né alcun servizio con marchio separato reso disponibile con un piano o una famiglia di prodotti con marchio Office 365 o Microsoft 365, ad esempio Bing o un servizio contrassegnato con “per Office 365”.
Servizi Conformità Microsoft 365	I servizi seguenti, ognuno reso disponibile come servizio autonomo o incluso in un piano o una famiglia di prodotti con marchio Microsoft 365: Microsoft Purview Customer Lockbox, Prevenzione della Perdita dei Dati Microsoft Purview, Microsoft Purview Customer Key, Gestione del Ciclo di Vita dei Dati di Microsoft Purview, Barriere Informative Microsoft Purview, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Gestione dei Rischi Insider Microsoft Purview, Conformità delle Comunicazioni Microsoft Purview, Gestione Record Microsoft Purview, Microsoft Purview eDiscovery, Microsoft Purview Audit, Gestione dei Rischi per la Privacy Microsoft Priva e Richieste di Diritti degli Interessati Microsoft Priva.
Microsoft Azure Core Services	Azure per Intelligenza Artificiale, Sicurezza dei contenuti di Azure AI, Azure Active Directory B2C, Rilevamento Anomalie, Gestione API, Assistenza per le App (App delle API, App di Logica, App per i Dispositivi Mobili, Processi Web, Funzioni), Lab Services, Gateway Applicativo, Monitoraggio di Azure, Automazione, API di Azure per FHIR, Configurazione App di Azure, Azure Bastion, Servizio di Azure AI Bot, Cache di Azure per Redis, Ricerca di Intelligenza Artificiale di Azure, Servizi di Comunicazione di Azure, App Contenitore di Azure, Istanze di Azure Container, Registro Azure Container (ACR), Azure Cosmos DB, Esplora Dati di Azure, Database di Azure per MySQL, Database di Azure per PostgreSQL, Azure Databricks, Protezione DDoS di Azure, Azure DevOps, Azure DNS, Microsoft Entra ID, Griglia di Eventi di Azure, Microsoft Fabric, Firewall di Azure, Informazioni sui Documenti di Azure AI, Servizi per i Dati Sanitari di Azure, Lettore Immersivo per Azure AI, Servizio Azure Kubernetes, Grafana con Gestione Azure, Azure Machine Learning, Advisor Metriche di Azure AI, Azure NetApp Files, Servizio OpenAI di Azure, Azure Red Hat OpenShift, Soluzione Azure VMware, Microsoft Purview Data Map (Versione Classica), Microsoft Purview Data Catalog (Versione Classica), Dati Analitici sul Patrimonio Dati di Microsoft Purview (Versione Classica), Microsoft Purview Data Policies (Versione Classica), Condivisione dei Dati di Microsoft Purview, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Video Indexer di Azure AI, Azure Web PubSub, Backup, Batch, Servizi Cloud, Visione Artificiale, Content Moderator, Visione Personalizzata di Azure AI, Data Factory, Data Lake Analytics, Data Lake Store, Hub Eventi, Express Route, Viso, HDInsight, Importazione/Esportazione, Hub IoT, Key Vault, Language Understanding, Bilanciamento del Carico, Azure Machine Learning Studio (versione classica), Servizi Multimediali, Portale Microsoft Azure, Hub di Notifica, Personalizza Esperienze di Azure AI, Power BI Embedded, QnA Maker, Microsoft Defender per il Cloud, Bus di Servizio, Connettore di Servizi, Service Fabric, Servizio Azure SignalR, Ripristino Sito, Servizi di Sintesi Vocale, SQL Database, Istanza Gestita di SQL, SQL Server Stretch Database, Storage, StorSimple, Analisi di Flusso, Synapse Analytics, Analisi del Testo, Gestione Traffico, Traduttore per Azure AI, Macchine Virtuali, Set di Scalabilità di Macchine Virtuali, Rete Virtuale e Gateway VPN.
Servizi Online Microsoft Intune	Componente del servizio cloud di Microsoft Intune.
Servizi di Base della Piattaforma di Microsoft Power	I servizi seguenti, ciascuno reso disponibile come servizio autonomo o incluso in un piano o una famiglia di prodotti con marchio Office 365 o Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages e Microsoft Copilot Studio. I Servizi Core di Microsoft Power Platform non includono alcun software client, tra cui, a titolo esemplificativo, Server di Report di Power BI, l’applicazione mobile Power BI, PowerApps o Microsoft Power Automate, Power BI Desktop o Power Apps Studio.
Microsoft Copilot	Microsoft Copilot, utilizzato con un account di lavoro o scuola.
Microsoft Defender Experts	Componente del servizio cloud di Microsoft Defender Experts.
Microsoft Defender for Cloud Apps	Il componente del servizio cloud di Microsoft Defender for Cloud Apps (in precedenza Microsoft Cloud App Security).
Servizi Microsoft Defender per Endpoint	Componente dei servizi cloud di Microsoft Defender per Endpoint.
Microsoft Defender per Identità	Componente dei servizi cloud di Microsoft Defender per Identità.
Microsoft Defender XDR	Componente del servizio cloud di Microsoft Defender XDR.
Microsoft Sentinel	Componente del servizio cloud di Microsoft Sentinel.
Windows 365	Componente del servizio cloud di Windows 365, ad esclusione del sistema operativo Windows in esecuzione su Windows 365 Cloud PC.

Procedure e Criteri di Sicurezza per i Servizi Online Core.

In aggiunta alle procedure e ai criteri di sicurezza per i Servizi Online nell’Addendum, ciascun Servizio Online Core aderisce anche agli standard e ai framework di controllo riportati nella tabella che segue e implementa e assicura le misure di sicurezza stabilite nell’Appendice A dell’Addendum per la protezione dei Dati della Società.

Servizio Online	SSAE 18 SOC 1 Type II	SSAE 18 SOC 2 Type II
Servizi Office 365	Sì	Sì
Servizi Conformità Microsoft 365	Sì	Sì
Servizi Core di Microsoft Dynamics 365	Sì	Sì
Microsoft Azure Core Services	Variabili*	Variabili*
Servizi Online Microsoft Intune	Sì	Sì
Servizi di Base della Piattaforma di Microsoft Power	Sì	Sì
Microsoft Copilot	Sì	Sì
Microsoft Defender Experts	Variabili*	Variabili*
Microsoft Defender for Cloud Apps	Sì	Sì
Servizi Microsoft Defender per Endpoint	Sì	Sì
Microsoft Defender per Identità	Sì	Sì
Microsoft Defender XDR	Sì	Sì
Microsoft Sentinel	Sì	Sì
Windows 365	Sì	Sì

* L’ambito attuale è illustrato in dettaglio nel rapporto di audit e riepilogato nel Centro Protezione di Microsoft.

Posizione dei Dati della Società Inattivi per i Servizi Online Core

Per quanto riguarda i Servizi Online Core, Microsoft archivierà i Dati della Società inattivi in alcune aree geografiche importanti (ciascuna, un’Area Geografica) indicate di seguito, fatto salvo quanto diversamente stabilito nelle condizioni specifiche per l’Utilizzo dei Servizi Online:

Servizi Office 365. Qualora la Società effettui il provisioning del proprio tenant in Australia, Brasile, Canada, Corea del Sud, Emirati Arabi Uniti, Francia, Germania, Giappone, India, Norvegia, Qatar, Regno Unito, Stati Uniti, Sudafrica, Svezia, Svizzera o Unione Europea, Microsoft archivierà i seguenti Dati della Società Inattivi solo all’interno di tale Area Geografica: (1) il contenuto della cassetta postale di Exchange Online (corpo del messaggio e-mail, voci del calendario e contenuto degli allegati e-mail), (2) il contenuto del sito SharePoint Online e i file archiviati su tale sito e (3) i file caricati su OneDrive for Business, (4) i messaggi chat di Microsoft Teams (inclusi i messaggi privati, i messaggi dei canali, i messaggi delle riunioni e le immagini utilizzate nelle chat) e, per le società che usano Microsoft Stream (Versione Classica) (basato su SharePoint), le registrazioni delle riunioni e (5) qualsiasi contenuto archiviato delle interazioni con Microsoft 365 Copilot nella misura in cui non sia incluso negli impegni precedenti. Qualora la Società acquisti una sottoscrizione Residenza dei Dati Avanzata, Microsoft archivierà determinati Dati della Società inattivi nell’Area Geografica applicabile in conformità al presente Articolo e all’Articolo “Impegni della Residenza dei Dati Avanzati” della documentazione del prodotto all’indirizzo https://aka.ms/adroverview.
Servizi Online Microsoft Intune. Quando la Società effettua il provisioning di un account del tenant di Microsoft Intune da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Intune.
Servizi di Base di Microsoft Power Platform. Quando la Società effettua il provisioning di un Servizio di Base di Power Platform da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Power Platform.
Microsoft Azure Core Services. Qualora la Società configuri un particolare servizio da distribuire all’interno di un’Area Geografica, per tale servizio Microsoft archivierà i Dati della Società a riposo all’interno dell’Area Geografica specificata. Determinati servizi potrebbero non consentire alla Società di configurare la distribuzione in un’Area Geografica particolare o al di fuori degli Stati Uniti e potrebbero archiviare i backup in altre posizioni. Per maggiori dettagli la Società potrà fare riferimento al Centro Protezione di Microsoft (che Microsoft potrà di volta in volta aggiornare, senza aggiungere eccezioni ai Servizi esistenti nella versione generale).
Microsoft Defender for Cloud Apps. Qualora la Società effettui il provisioning del proprio tenant nell’Unione Europea o negli Stati Uniti, Microsoft archivierà i Dati della Società Inattivi solo all’interno di tale Area Geografica, fatto salvo quanto descritto nel Centro Protezione di Microsoft Defender for Cloud Apps.
Servizi Core di Microsoft Dynamics 365. Quando la Società effettua il provisioning di un Servizio Core di Microsoft Dynamics 365 da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Dynamics 365.
Servizi Microsoft Defender per Endpoint. Quando la Società effettua il provisioning di un tenant di Microsoft Defender per Endpoint da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Defender per Endpoint.
Microsoft Defender per Identità. Quando la Società effettua il provisioning di un tenant di Microsoft Defender per Identità da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Defender per Identità.
Microsoft Defender XDR. Quando la Società effettua il provisioning di un tenant di Microsoft Defender XDR da distribuire all’interno di un’Area Geografica disponibile, per tale servizio Microsoft archivierà i Dati della Società Inattivi nell’Area Geografica specificata, fatto salvo quanto riportato nel Centro Protezione di Microsoft Defender XDR.
Windows 365. Quando un tenant di Windows 365 viene distribuito all’interno di un’Area Geografica disponibile, per tale tenant Microsoft archivierà i Dati della Società Inattivi all’interno dell’Area Geografica specificata. Qualora la Società effettui il provisioning di Windows 365 Cloud PC all’interno dello stesso tenant verso Aree Geografiche disponibili differenti, per ciascun Cloud PC Microsoft archivierà i Dati della Società inattivi di Cloud PC all’interno dell’Area Geografica specificata.

Servizi di EU Data Boundary

Il termine “EU Data Boundary” indica i computer, l’ambiente informatico e i data center fisici di Microsoft ubicati esclusivamente nell’Unione Europea (UE) e nell’Associazione Europea per il Libero Scambio (European Free Trade Association o “EFTA”). Il termine “Servizi di EU Data Boundary” si applica solo ai Servizi Online della tabella sottostante, ad esclusione delle Anteprime.

Servizi di EU Data Boundary
Azure	Servizi di Azure che consentono la distribuzione in un’area geografica all’interno dell’EU Data Boundary e i seguenti servizi che non rientrano nell’area geografica: Azure Active Directory B2C, Azure Advisor, Servizio Azure Bot, Cloud Shell, Servizi di Comunicazione di Azure, Azure Data Box, DNS di Azure, Microsoft Entra ID, Microsoft Fabric, Servizio Azure Kubernetes in Azure Stack HCI, Azure Lighthouse, Azure Migrate, Monitoraggio di Azure, Spostamento Risorse di Azure, Integrità dei Servizi di Azure, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Hub di Azure Stack, Desktop Virtuale Azure, Image Builder per Macchine Virtuali di Azure, Power BI Embedded, Gestione traffico, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Customer Lockbox, Exchange Online, Archiviazione Exchange Online per Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Versione Classica) (basato su SharePoint), Microsoft Teams, Microsoft To-Do, Office per il web, Servizi Online erogati nell’ambito di Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Conformità alle Comunicazioni, eDiscovery and Audit, Gestione dei Rischi Insider, Barriere Informative, Prevenzione della Perdita dei Dati Microsoft Purview, Microsoft Intune, Gestione dei Rischi per la Privacy Priva, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insight, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales e Microsoft Viva Topics
Power Platform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio

Posizione dei Dati della Società per i Servizi di EU Data Boundary

Per i Servizi di EU Data Boundary, Microsoft archivierà e tratterà i Dati della Società e i Dati Personali all’interno dell’EU Data Boundary come descritto di seguito.

La Società dovrà configurare i Servizi di EU Data Boundary come segue:

Per quanto riguarda Azure, la Società dovrà distribuire il servizio in un’area geografica di Azure ubicata all’interno dell’EU Data Boundary. Per ulteriori informazioni, vedere Residenza dei Dati in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Per quanto riguarda i servizi che non consentono la distribuzione in un’area geografica specificata di Azure, la Società dovrà attenersi alle istruzioni della pagina Configuring Azure non-regional services for the EU Data Boundary (Configurazione dei Servizi di Azure Esterni all’Area Geografica per l’EU Data Boundary) all’indirizzo (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
Per quanto riguarda Dynamics 365 e Power Platform, nel caso in cui la Società effettui il provisioning di un tenant con un indirizzo di fatturazione nell’UE o nell’EFTA, tale tenant rientrerà nell’ambito dell’EU Data Boundary qualora la Società crei anche tutti i suoi ambienti in un’Area Geografica all’interno dell’EU Data Boundary.
Per quanto riguarda Microsoft 365, nel caso in cui la Società effettui il provisioning di un tenant nell’UE o nell’EFTA, tale tenant rientrerà nell’ambito dell’EU Data Boundary. Verranno esclusi quei tenant nei quali la Società ha acquistato anche il componente aggiuntivo Microsoft 365 Multi-Geo Capabilities che consente alle società di espandere la presenza dei tenant di Microsoft 365 a più aree geografiche o paesi (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).

L’utilizzo dei Servizi di EU Data Boundary potrà avere come conseguenza trasferimenti limitati di Dati della Società o di Dati Personali al di fuori dell’EU Data Boundary, come stabilito di seguito e illustrato più in dettaglio nella documentazione relativa alla trasparenza per l’EU Data Boundary disponibile all’indirizzo https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn o in una posizione che verrà definita in seguito. I trasferimenti di questo tipo verranno effettuati in conformità all’Addendum relativo alla Protezione dei Dati Personali e alle Condizioni relative all’Utilizzo dei Prodotti.

Accesso Remoto. Il personale Microsoft che si trova al di fuori dell’EU Data Boundary potrà accedere da remoto ai sistemi per il trattamento dei dati nell’EU Data Boundary nella misura necessaria per gestire e proteggere i Servizi di EU Data Boundary, nonché per risolvere eventuali problemi.
Trasferimenti Avviati dalle Società. Le Società potranno avviare trasferimenti al di fuori dell’EU Data Boundary, ad esempio accedendo ai Servizi di EU Data Boundary da posizioni al di fuori dell’EU Data Boundary, inviando un messaggio e-mail a un destinatario situato al di fuori dell’EU Data Boundary, oppure potranno utilizzare i Servizi di EU Data Boundary insieme ad altri servizi che non si trovano nell’EU Data Boundary.
Protezione delle Società. Microsoft trasferisce i dati limitati al di fuori dell’EU Data Boundary nella misura necessaria a rilevare e proteggere le Società da minacce alla sicurezza.
Dati della Directory. Microsoft potrà replicare i dati della directory Microsoft Entra limitati tramite Microsoft Entra ID (inclusi nome utente e indirizzo e-mail) al di fuori dell’EU Data Boundary per erogare il servizio.
Transito in Rete. Per ridurre la latenza del routing e mantenerne la resilienza, Microsoft utilizza percorsi di rete variabili che potranno occasionalmente comportare il transito di dati al di fuori dell’EU Data Boundary.
Qualità e Gestione dei Servizi e delle Piattaforme. Qualora sia necessario per monitorare e garantire la qualità dei servizi o per assicurare l’accuratezza delle rilevazioni statistiche sull’utilizzo o sulle prestazioni dei servizi, i Dati Personali pseudonimizzati potranno essere trasferiti al di fuori dell’EU Data Boundary.
Trasferimenti Specifici del Servizio. Vedere la documentazione relativa alla trasparenza indicata sopra per informazioni sui trasferimenti applicabili ai Servizi di EU Data Boundary.