{"id":1010,"date":"2023-03-22T19:53:08","date_gmt":"2023-03-22T18:53:08","guid":{"rendered":"https:\/\/supporto.clanto.it\/?post_type=kb&p=1010"},"modified":"2023-03-22T19:53:10","modified_gmt":"2023-03-22T18:53:10","slug":"considerazioni-tecniche-e-di-protezione-dei-dati-su-microsoft-365","status":"publish","type":"kb","link":"https:\/\/supporto.clanto.it\/kb\/considerazioni-tecniche-e-di-protezione-dei-dati-su-microsoft-365\/","title":{"rendered":"Considerazioni tecniche e di protezione dei dati su Microsoft 365"},"content":{"rendered":"\n

Le seguenti domande e risposte sono state tadotte dalla pagina originale:
https:\/\/www.datenschutz.rlp.de\/de\/themenfelder-themen\/microsoft-office-365\/<\/a><\/p>\n\n\n\n

<\/p>\n\n\n\n

Microsoft 365 (precedentemente Office 365) \u00e8 una soluzione software di Microsoft Corporation che include varie applicazioni per ufficio come programmi di posta, elaborazione testi, fogli di calcolo, software di presentazione, software di database e molto altro.<\/p>\n\n\n\n

Per quanto riguarda il funzionamento tecnico, ci sono caratteristiche diverse.\u00a0Esistono versioni che consentono il funzionamento sull’infrastruttura IT del titolare del trattamento o di un fornitore di servizi, nonch\u00e9 versioni basate su applicazioni Web o funzionalit\u00e0 cloud.<\/p>\n\n\n\n

Qual \u00e8 il problema in termini di protezione dei dati quando si utilizza Microsoft 365?<\/h3>\n\n\n\n

I problemi associati all’utilizzo di prodotti software non europei come Microsoft 365 si basano su circostanze tecniche e legali. Di norma, la trasmissione di determinati dati di utilizzo, come l’indirizzo IP, non pu\u00f2 essere evitata durante l’uso (maggiori informazioni di seguito). Inoltre, non si pu\u00f2 escludere che il provider utilizzi determinati dati di utilizzo per i propri scopi o li trasmetta a partner pubblicitari.<\/p>\n\n\n\n

Per il trasferimento dei dati personali \u00e8 necessaria una base legale. Ci\u00f2 pu\u00f2 derivare da regolamenti legali sulla trasmissione o dalla possibilit\u00e0 di utilizzare un fornitore di servizi come elaborazione degli ordini ai sensi dell’articolo 28, paragrafo 3, del regolamento generale sulla protezione dei dati (GDPR).<\/p>\n\n\n\n

Un problema fondamentale, tuttavia, risiede nel fatto che i dati personali trasmessi negli Stati Uniti sono trattati in condizioni legali che non corrispondono al livello europeo di protezione dei dati.<\/p>\n\n\n\n

Dopo che la Corte di Giustizia Europea (ECJ) ha dichiarato invalido il cosiddetto Privacy Shield nella sua sentenza del 16 luglio 2020 (Causa 311\/18; “Schrems II”), i trasferimenti di dati verso gli USA non possono pi\u00f9 essere basati su questo strumento . La Corte di giustizia ha basato la sua decisione sul fatto che le autorit\u00e0 di sicurezza negli Stati Uniti sono in grado di accedere ai dati archiviati dalle societ\u00e0 statunitensi in blocco e che gli utenti europei non possono far rivedere queste misure di sorveglianza da un tribunale.<\/p>\n\n\n\n

I requisiti legali per il trattamento dei dati negli Stati Uniti di cui agli articoli 44 e seguenti del GDPR difficilmente possono essere soddisfatti con l’abolizione del Privacy Shield.<\/p>\n\n\n\n

Se il trattamento dei dati da parte di un fornitore non europeo si basa sulle cosiddette clausole standard di protezione dei dati dell’UE, ovvero contratti modello, sono disponibili modelli corrispondenti; questi fanno spesso parte di contratti corrispondenti, anche con fornitori di servizi statunitensi. Secondo la decisione Schrems II della Corte di giustizia, tuttavia, devono essere adottate misure aggiuntive durante il trasferimento di dati personali negli Stati Uniti per garantire un livello di protezione sostanzialmente equivalente a quello nell’UE. Tuttavia, occorre ancora chiarire quali misure concrete siano possibili alla luce di questo requisito chiarito dalla Corte di giustizia e in considerazione dei diversi scenari di utilizzo.<\/p>\n\n\n\n

Per quanto riguarda Microsoft 365, esistono ancora disposizioni nelle condizioni di utilizzo (Online Service Terms OST) o nelle disposizioni sulla protezione dei dati (Date Processing Agreement DPA), che soddisfano i requisiti di protezione dei dati del DSGVO per la trasparenza del trattamento dei dati, le opzioni del cliente per influenzare, le finalit\u00e0 del trattamento dei dati o la cancellazione dei dati non corrispondono.<\/p>\n\n\n\n

Perch\u00e9 la possibilit\u00e0 offerta da Microsoft di elaborare i dati su server europei non \u00e8 sufficiente per un funzionamento conforme alla protezione dei dati?<\/h3>\n\n\n\n

Sebbene Microsoft offra la possibilit\u00e0 di archiviare i dati su server europei (vedere ” <\/p>\n\n\n\n

Condizioni di Microsoft Online Service<\/a>\u00a0“), ci\u00f2 si applica solo a ci\u00f2 che Microsoft chiama “dati dei clienti”.\u00a0Questa \u00e8 la definizione di Microsoft di qualsiasi dato, inclusi qualsiasi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Societ\u00e0 tramite l’Utilizzo.\u00a0“Dati diagnostici” che Microsoft raccoglie o riceve dal software installato localmente dalla Societ\u00e0 in relazione al Servizio online (a volte indicati come dati di telemetria) e ”\u00a0<\/p>\n\n\n\n

Dati generati <\/a>dal <\/a>servizio”.<\/a>‘ che Microsoft genera o deduce nel corso del funzionamento di qualsiasi servizio online non sono interessati.\u00a0Questi dati vengono quindi memorizzati su sistemi negli Stati Uniti.\u00a0A causa del loro possibile riferimento personale, sorgono questioni relative alla trasmissione legittima alla luce della giurisprudenza della Corte di giustizia europea (ECJ 311\/18 (“Schrems II”)).Al fine di impedire la trasmissione di dati di telemetria personali, i responsabili devono pertanto garantire mediante misure contrattuali, tecniche o organizzative (ad esempio filtrando le trasmissioni di dati tramite un’infrastruttura adeguata) che non abbia luogo in modo dimostrabile alcuna trasmissione di dati di telemetria a Microsoft\u00bb.Inoltre, la possibilit\u00e0 di archiviazione dei dati su server europei tiene conto solo in parte del problema dell’accesso da parte di autorit\u00e0 statunitensi non conformi alla normativa europea, dal momento che l’American Clarifying Lawful Overseas Use of Data Act (CLOUD Act) del 23 marzo 2018 per Le societ\u00e0 statunitensi hanno l’obbligo di consegnare i dati anche se i dati sono archiviati al di fuori degli Stati Uniti.<\/p>\n\n\n\n

Perch\u00e9 lo US CLOUD Act \u00e8 un problema di privacy?<\/h3>\n\n\n\n

Lo US Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) del 23 marzo 2018) offre alle autorit\u00e0 americane l’opportunit\u00e0 di richiedere alle societ\u00e0 statunitensi (o alle loro filiali) di fornire dati, anche se si trovano al di fuori degli Stati Uniti e vengono salvati.Ai sensi dell’articolo 48 DS-GVO, tale trasmissione di dati a un paese terzo \u00e8 consentita solo se pu\u00f2 essere basata su un accordo internazionale in vigore, come un accordo di mutua assistenza giudiziaria.\u00a0Tale accordo non esiste ancora.Un approccio iniziale \u00e8 stato quello di utilizzare una soluzione di amministrazione fiduciaria offerta da Microsoft, in cui Microsoft non aveva accesso diretto ai dati archiviati in Europa (“Microsoft Germany Cloud”).\u00a0Tuttavia, il prodotto “MS Deutschland Cloud” da allora \u00e8 stato interrotto da Microsoft e non \u00e8 pi\u00f9 disponibile come opzione operativa.Gli ordini corrispondenti da parte delle autorit\u00e0 statunitensi di divulgare i dati sono solitamente accompagnati da un obbligo di riservatezza da parte dell’autorit\u00e0 richiesta per rilasciare i dati (in questo caso, ad esempio Microsoft come responsabile del trattamento), in modo che gli interessati non siano informati che i loro dati sono stati stato divulgato (cfr. art. 15 cpv. 1 lett. c GDPR).In caso di accesso ai dati da parte delle autorit\u00e0 statunitensi o relative richieste di restituzione, ci\u00f2 comporta una violazione dell’articolo 48 del GDPR.<\/p>\n\n\n\n

Effetti della decisione dell’OLG Karlsruhe di settembre 2022 per l’uso di MS 365 nelle scuole<\/h3>\n\n\n\n

La decisione del tribunale regionale superiore di Karlsruhe (decisione del 7 settembre 2022, Az.: 15 Verg 8\/22) si riferisce al diritto degli appalti e non alle norme sulla protezione dei dati del regolamento generale sulla protezione dei dati (GDPR). I criteri decisionali erano quindi le disposizioni di legge contro le restrizioni della concorrenza e l’ordinanza sull’aggiudicazione degli appalti pubblici. Il tribunale regionale superiore di Karlsruhe non ha specificato le norme relative alle responsabilit\u00e0 ai sensi del regolamento generale sulla protezione dei dati (GDPR) e i requisiti restrittivi della Corte di giustizia europea (sentenza del 16 luglio 2020 “Schrems-II)” per quanto riguarda i trasferimenti di dati a gli Stati Uniti nel presente contesto discusso.<\/p>\n\n\n\n

L’Alta Corte Regionale di Karlsruhe ha deciso che, in caso di aggiudicazione di un appalto pubblico, la garanzia dell’offerente di poter offrire un prodotto legale e quindi anche conforme alla protezione dei dati o un servizio corrispondente non deve essere messa in discussione fin dall’inizio. Ci\u00f2 vale anche per gli offerenti che offrono applicazioni digitali. La procedura di aggiudicazione deve svolgersi su questa base. L’offerente \u00e8 quindi responsabile di questo. Questo non dice nulla su applicazioni, prodotti o servizi specifici, ma affina solo il ruolo dell’offerente nel processo.<\/p>\n\n\n\n

In caso di elaborazione degli ordini – come nel caso dell’utilizzo di prodotti software – il cliente rimane responsabile del corretto trattamento dei dati in conformit\u00e0 con le disposizioni del GDPR (art. 4 n. 7 e 8, art. 24 e ss. GDPR ) . In questo contesto, l’articolo 24 (1) GDPR stabilisce che la persona responsabile non solo deve garantire, ma anche fornire la prova che l’elaborazione dell’ordine viene eseguita in conformit\u00e0 con il regolamento generale sulla protezione dei dati.<\/p>\n\n\n\n

Affidarsi esclusivamente alle garanzie contrattuali di un appaltatore in merito alla conformit\u00e0 alla protezione dei dati di un prodotto non sarebbe conciliabile con questi elevati requisiti. La decisione dell’Alta Corte Regionale di Karlsruhe quindi con ogni probabilit\u00e0 non porter\u00e0 le autorit\u00e0 di controllo della protezione dei dati a modificare le loro precedenti dichiarazioni sull’uso di prodotti software non europei nel contesto scolastico.<\/p>\n\n\n\n

Le autorit\u00e0 di controllo della protezione dei dati, proprio come il KMK, sono in costante contatto con Microsoft. Di recente si \u00e8 saputo che Microsoft ha pubblicato un nuovo regolamento contrattuale con migliorie sulla protezione dei dati, attualmente all’esame delle autorit\u00e0 di controllo. Tra l’altro, sono probabilmente una reazione ai suggerimenti e alle raccomandazioni delle autorit\u00e0 di controllo della protezione dei dati e sono quindi un passo nella giusta direzione, ma non sono sufficienti.<\/p>\n\n\n\n

In questo contesto, va ricordato che lo stato dell’Assia ha pubblicato un bando di gara per quanto riguarda le applicazioni software da utilizzare nelle scuole, e in particolare i sistemi di videoconferenza.\u00a0L\u00ec, un fornitore con sede in Assia che lavora sulla base di BigBlueButton ha vinto la gara.\u00a0\u00c8 quindi previsto anche in Assia che le scuole utilizzino questa applicazione su tutta la linea in futuro e non utilizzino pi\u00f9 altre applicazioni.<\/p>\n\n\n\n

Recenti comunicati stampa indicano che il presidente degli Stati Uniti Biden ha firmato un ordine esecutivo per un nuovo quadro sulla privacy dei dati UE-USA.\u00a0Secondo i rapporti, questo ordine introduce una serie di nuovi diritti per i cittadini dell’UE nelle misure di sorveglianza da parte delle autorit\u00e0 di sicurezza statunitensi.\u00a0Tuttavia, nessun testo \u00e8 ancora disponibile.\u00a0Sulla base di questo ordine esecutivo, la Commissione europea emetter\u00e0 un’altra decisione di adeguatezza per gli Stati Uniti per consentire il trasferimento di dati personali negli Stati Uniti.\u00a0Ci\u00f2 avverr\u00e0 probabilmente non prima dell’inizio del 2023 e sar\u00e0 immediatamente contestato in tribunale.\u00a0Non \u00e8 quindi prevedibile una situazione giuridicamente sicura a medio termine.<\/p>\n\n\n\n

A quali condizioni \u00e8 concepibile un utilizzo conforme alla protezione dei dati di Microsoft 365?<\/h3>\n\n\n\n

I problemi di protezione dei dati riguardano principalmente i prodotti basati su cloud, come quelli spesso utilizzati soprattutto nelle scuole. A titolo di esempio per il settore scolastico, qui troverai informazioni sulle condizioni alle quali l’utilizzo di Microsoft 365 pu\u00f2 essere consentito ai sensi della legge sulla protezione dei dati. Che include<\/p>\n\n\n\n

    \n
  1. Il funzionamento di Microsoft 365 sulle strutture IT del titolare del trattamento (“soluzione locale”) o in sedi all’interno dell’UE\/SEE che non sono soggette all’obbligo di divulgazione ai sensi della legge statunitense sul cloud.\u00a0(Nota: le attuali raccomandazioni dell’Ufficio federale per la sicurezza delle informazioni (BSI) prevedono anche una rinuncia al cloud storage).<\/li>\n\n\n\n
  2. La prevenzione della trasmissione di dati di telemetria quando si utilizza Microsoft 365 o il sistema operativo Windows sottostante. Con Windows 10 Enterprise, la trasmissione dei dati a Microsoft pu\u00f2 essere ampiamente impedita dalle impostazioni del sistema operativo.<\/li>\n\n\n\n
  3. La conferenza delle autorit\u00e0 di vigilanza sulla protezione dei dati del governo federale e statale ha formulato raccomandazioni in tal senso.<\/li>\n\n\n\n
  4. Filtraggio durante la trasmissione di dati di telemetria personale tramite un’infrastruttura appropriata (firewall), a meno che ci\u00f2 non possa essere impedito dalle specifiche di configurazione.\u00a0Qui, i responsabili devono utilizzare misure contrattuali, tecniche o organizzative per garantire che non vi sia alcuna trasmissione dimostrabile di dati di telemetria a Microsoft (Nota: nell’ambito di un progetto pilota nel Baden-W\u00fcrttemberg, in cui una versione di Microsoft 365 relativa alla scuola \u00e8 stato testata, tuttavia\u00a0non \u00e8 possibile senza ulteriori restrizioni e limitazioni, quindi un filtro appropriato pu\u00f2 essere associato alle necessarie restrizioni funzionali.<\/li>\n\n\n\n
  5. Elaborazione dei dati sulla base delle cosiddette clausole standard di protezione dei dati dell’UE (contratti tipo).\u00a0Secondo la decisione Schrems II della Corte di giustizia, tuttavia, devono essere adottate misure aggiuntive durante il trasferimento di dati personali negli Stati Uniti per garantire un livello di protezione sostanzialmente equivalente a quello nell’UE.\u00a0Qui, tuttavia, \u00e8 ancora necessario chiarire quali misure concrete siano possibili alla luce di questo requisito chiarito dalla Corte di giustizia e in vista dei diversi scenari di utilizzo (nota: vizi giuridici nei contratti modello per l’elaborazione degli ordini per quanto riguarda gli Stati membri squadre, in particolare deviazioni inammissibili dalle specifiche dell’articolo 28 GDPR)<\/li>\n\n\n\n
  6. L’utilizzo di indirizzi\/account e-mail ufficiali pseudonimi (idealmente temporaneamente da un pool) e il divieto di utilizzo di account Microsoft privati<\/li>\n\n\n\n
  7. Utilizzo tramite un browser preconfigurato e sicuro con misure di protezione integrate per la pi\u00f9 ampia anonimizzazione\/sincronizzazione dei metadati.<\/li>\n\n\n\n
  8. L’interposizione di terminal client opportunamente preconfigurati per la pi\u00f9 ampia anonimizzazione\/sincronizzazione dei metadati.<\/li>\n\n\n\n
  9. L’uso di dispositivi terminali forniti dalla scuola e configurati per il salvataggio dei dati.<\/li>\n\n\n\n
  10. Il reindirizzamento del traffico Internet attraverso un’ apposita infrastruttura con misure tecniche adeguate per nascondere gli indirizzi IP domestici.<\/li>\n<\/ol>\n\n\n\n

    Quali “dati di utilizzo” vengono trasmessi con Microsoft 365?<\/h3>\n\n\n\n

    Quando si utilizzano pacchetti software come Microsoft 365 o soluzioni cloud corrispondenti, i dati personali o di identificazione personale possono presentarsi a diversi livelli.

    Microsoft, in questo contesto, distingue tra “Dati del cliente” come tutti i dati, inclusi tutti i file di testo, audio, video o immagine e software, forniti a Microsoft da o per conto del Cliente tramite l’Utilizzo, “Dati diagnostici” che Microsoft raccoglie da Software installato o ricevuto localmente dalla Societ\u00e0 in relazione al Servizio Online (a volte indicato come dati di telemetria) e “Dati Generati dal Servizio ” che Microsoft genera o deduce nel corso del funzionamento di un Servizio Online.<\/p>\n\n\n\n

    Viene raccolta una grande quantit\u00e0 di dati sull’uso individuale di Word, Excel, PowerPoint e Outlook, dei team e di altre applicazioni e servizi. Questo va ben oltre il richiamo di un programma o la durata dell’utilizzo. Ad esempio, Microsoft raccoglie informazioni sugli eventi in Word, come premere il tasto backspace pi\u00f9 volte di seguito, ma anche la frase prima e dopo una parola cercata nel correttore ortografico online. Il componente di telemetria integrato non solo registra i dati di utilizzo per le applicazioni utilizzate principalmente, ma anche l’utilizzo individuale di servizi connessi come il servizio di traduzione o il motore di ricerca Microsoft Bing, nonch\u00e9 i dati sul dispositivo utilizzato, l’indirizzo Internet accesso (indirizzo IP), dati sulla posizione e altro.
     <\/p>\n\n\n\n

    Nell’ambito di un’indagine condotta per conto del Ministero della Giustizia olandese nel 2018, Microsoft ha dichiarato che ai server di Microsoft vengono inviati da 23.000 a 25.000 tipi di eventi e che fino a 30 team lavorano con questi dati ( DPIA Office 365 ProPlus versione 1905 , pagina\u00a070<\/a>\u00a0). Microsoft fornisce una panoramica dei dati di diagnostica raccolti come parte di Microsoft 365 (Microsoft dichiara un tempo di lettura di circa 7,5 ore per questo documento)).\u00a0Tuttavia, spesso non \u00e8 chiaro quali dati vengano effettivamente inviati, poich\u00e9 la trasmissione \u00e8 spesso crittografata e quindi i dati non possono essere visualizzati durante un esame.\u00a0Tutto sommato, c’\u00e8 stata una mancanza di trasparenza sufficiente per il regolamento generale sulla protezione dei dati per quanto riguarda i dati trattati da Microsoft.\u00a0Soprattutto l’uso dei dati del contesto scolastico rimane poco chiaro.\u00a0Pertanto, l’uso improprio non pu\u00f2 essere escluso.
    Nella maggior parte dei casi, i dati diagnostici o generati dal servizio sono informazioni tecniche che non hanno alcun riferimento personale diretto.\u00a0Tuttavia, questi possono essere assegnati a un ID utente univoco appartenente all’utente o rappresentare identificatori univoci Studi hanno dimostrato che, a causa della grande quantit\u00e0 di informazioni, \u00e8 possibile una nuova identificazione anche quando si utilizzano account utente pseudonimi.<\/p>\n\n\n\n

    Quali misure tecniche e organizzative possono essere adottate per impedire l’invio di dati diagnostici a Microsoft?<\/h3>\n\n\n\n

    I responsabili del trattamento sono obbligati ad adottare misure tecniche e organizzative che offrano protezione contro trattamenti non autorizzati o illeciti (articolo 5 GDPR). Per quanto riguarda la trasmissione dei dati di telemetria, sono particolarmente importanti le seguenti misure:<\/p>\n\n\n\n