Salvaguardare i diritti alla privacy degli individui in base al GDPR nel cloud intelligente Microsoft

Presso

25 Maggio 2018

Il post di oggi è stato scritto da Alym Rayani, responsabile di Microsoft 365.

Con l’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR), è stato raggiunto un traguardo importante per i diritti alla privacy degli individui. Viviamo in un’epoca in cui la tecnologia digitale ha un profondo impatto su ogni aspetto della nostra vita quotidiana, dalle relazioni con gli altri all’interpretazione che diamo al nostro mondo. Il perno centrale di questa trasformazione digitale è la capacità di archiviare e analizzare enormi quantità di dati per generare nuove prospettive ed esperienze più personalizzate per i clienti. A parte i vantaggi, bisogna però considerare che queste attività digitali lasciano ampie tracce di dati, con informazioni personali e record aziendali sensibili che è necessario proteggere.

La mission di Microsoft è offrire a ogni persona e ogni organizzazione del mondo gli strumenti per realizzare di più. La fiducia è alla base di tutto quello che facciamo, perché sappiamo da sempre che nessuno è disposto a usare tecnologie considerate non attendibili. Crediamo anche che la privacy sia un diritto umano fondamentale che è necessario tutelare. Come osserva Julie Brill, responsabile Microsoft per la privacy nel suo blog, recente, Microsoft ritiene che il GDPR stabilisca principi importanti validi a livello globale.

Oltre al nostro impegno costante per la privacy, lo scorso anno abbiamo effettuato diversi investimenti a supporto del GDPR e dei diritti alla privacy degli individui. Ecco un riepilogo su come usare queste funzionalità per agevolare il percorso dell’organizzazione verso la conformità al GDPR.

Valutazione e gestione dei rischi di conformità

Raggiungere la conformità organizzativa comporta diverse complicazioni, per cui è di fondamentale importanza comprendere i rischi associati. I clienti ci hanno segnalato le difficoltà riscontrate per la carenza di funzionalità interne che consentano di definire e implementare controlli adeguati e per l’inefficienza delle attività preliminari all’auditing.

Le funzionalità Gestore conformità e Punteggio di conformità consentono di monitorare continuamente il livello di conformità dell’organizzazione. Gestore conformità acquisisce e fornisce dettagli su ogni controllo Microsoft implementato per soddisfare specifici requisiti, tra cui dettagli su piani di test e implementazione e, se necessario, le risposte del management. Fornisce inoltre consigli sulle iniziative da intraprendere nell’organizzazione per migliorare le funzionalità di protezione dei dati e adempiere agli obblighi di conformità.

Screenshot della dashboard Gestore conformità.

Ecco come viene usata la funzionalità Gestore conformità da Abrona, cliente di Microsoft 365:

Protezione dei dati personali

Essenzialmente, il GDPR si prefigge di proteggere i dati personali degli individui, ossia garantire che vengano implementate le misure adeguate di sicurezza, governance e gestione per impedirne l’uso improprio o l’accesso non autorizzato. Per assicurare una protezione efficace dei dati personali, oltre che dei contenuti sensibili legati a esigenze di conformità organizzativa, è necessario implementare soluzioni e processi che consentano di individuare, classificare, proteggere e monitorare i dati più importanti.

Le funzionalità di protezione delle informazioni di Microsoft 365, ad esempio Office 365 Data Governance e Azure Information Protection, offrono un’esperienza integrata di classificazione, etichettatura e protezione, favorendo una protezione più persistente dei dati, indipendentemente da dove vengano archiviati o trasferiti. Con una strategia proattiva di governance dei dati, che prevede la classificazione di dati personali e sensibili, è possibile rispondere adeguatamente quando è necessario trovare i dati appropriati per soddisfare una richiesta o un requisito del regolamento GDPR, ad esempio una richiesta del soggetto interessato.

Screenshot delle impostazioni di protezione del Centro sicurezza e conformità.

Azure Information Protection consente di configurare criteri per individuare, classificare, etichettare e proteggere automaticamente i documenti nei repository locali, come file server e server SharePoint locali, in scenari ibridi e locali. Per distribuire la funzionalità nell’ambiente, segui le istruzioni di questa guida tecnica.

I servizi di database completamente gestiti di Azure, come il database SQL di Azure, alleviano il carico associato alla distribuzione di patch e aggiornamenti nella piattaforma dati, offrendo allo stesso tempo funzionalità intelligenti integrate per identificare dove sono archiviati i dati sensibili. Nuove tecnologie, come Azure SQL Data Discovery and Classification, forniscono funzionalità avanzate per individuare, classificare, etichettare e proteggere i dati a livello di database. Tecnologie come Transparent Data Encryption (TDE), che supporta la strategia BYOK (Bring Your Own Key) con l’integrazione di Azure Key Vault, contribuiscono a proteggere i dati personali.

Vediamo come INAIL, cliente di Microsoft 365, sfrutta Azure Information Protection per classificare, etichettare e proteggere i dati più sensibili:

Risposte affidabili

Uno dei principali ostacoli per molte organizzazioni riguarda l’implementazione di processi che consentano di gestire e soddisfare efficientemente determinati requisiti del GDPR, ad esempio le risposte alle richieste DSR o alle violazioni dei dati.

Per facilitare l’esplorazione delle risorse GDPR disponibili nei servizi cloud, lo scorso mese abbiamo introdotto la scheda Privacy nel Service Trust Portal. Fornisce le informazioni necessarie per preparare le valutazioni dell’impatto sulla protezione dei dati con i servizi Microsoft Cloud, linee guida per rispondere alle richieste DSR e informazioni su come Microsoft rileva e risponde alle violazioni dei dati, oltre a come ricevere notifiche direttamente da Microsoft.

Per altre informazioni sulle risorse GDPR disponibili nel Service Trust Portal, guarda il nuovo video di Mechanics.

Funzionalità a supporto delle richieste DSR

Per supportare le richieste DSR nei servizi Microsoft Cloud, sono disponibili diverse nuove funzionalità, tra cui la scheda Privacy dei dati in Office 365, un portale DSR in Azure e nuove funzionalità di ricerca DSR in Dynamics 365.

La nuova scheda Privacy dei dati, la dashboard GDPR e l’esperienza DSR in Office 365 sono già disponibili a livello generale per tutti i clienti commerciali. Questa esperienza offre gli strumenti necessari per rispondere in modo efficiente ed efficace alle richieste DSR riguardanti contenuti di Office 365, come Exchange, SharePoint, OneDrive, gruppi e, ora, Microsoft Teams.

Come afferma Kelly Clay di GlaxoSmithKline, “Il GDPR 2016/679 è un regolamento giuridico dell’UE per la protezione e la privacy dei dati di tutti i cittadini dell’Unione Europea. Introduce inoltre una nuova serie di ‘diritti digitali’ per i cittadini europei in un’epoca in cui il valore economico dei dati personali aumenta continuamente nel contesto dell’economia digitale. Il GDPR imporrà ai titolari e ai responsabili del trattamento di grandi quantità di dati di gestire le richieste DSR, e a questo scopo le organizzazioni avranno bisogno degli strumenti di Office 365”.

Patrick Oots dello studio legale Shook, Hardy & Bacon segue le organizzazioni clienti nel loro percorso verso la conformità al GDPR. “Siamo entusiasti di vedere che Microsoft investe in Office 365. Per i nostri clienti che si preparano per il GDPR, gli strumenti disponibili nel portale Privacy dei dati risultano estremamente utili per gestire le risposte DSR in risposta all’articolo 15. Con l’evoluzione della legislazione in materia di privacy dei dati, ricordiamo ai nostri clienti di Office 365 l’importanza generale della corretta implementazione di criteri di governance dei dati all’interno del Centro sicurezza e conformità per ridurre i rischi”. Patrick sottolinea come una strategia proattiva di governance dei dati possa aiutare le organizzazioni a rispondere con precisione a normative come il GDPR quando è necessario.

Screenshot della dashboard GDPR nel Centro sicurezza e conformità.

Il portale Azure DSR è già disponibile a livello generale. Tramite questo portale, gli amministratori di tenant possono identificare le informazioni associate a un utente e quindi correggere, modificare, eliminare o esportare i suoi dati. Possono anche identificare le informazioni associate a un soggetto interessato ed elaborare le richieste DSR rispetto a log generati dal sistema, ossia dati prodotti da Microsoft per fornire un determinato servizio Microsoft Cloud. Altre nuove offerte di Azure includono la disponibilità a livello generale di Criteri di Azure, Gestore conformità per Azure GDPR e Azure Security and Compliance Blueprint per GDPR.

Per altre informazioni, vedi li post di blog sulle funzionalità di Azure per il GDPR.

Screenshot della schermata iniziale per la gestione della privacy dei dati in Azure Directory.

Per aiutare i clienti a rispondere alle richieste DSR, sono disponibili due funzionalità di ricerca in Dynamics 365: la ricerca per pertinenza e il report sulla ricerca di persone. La ricerca per pertinenza consente di trovare risultati in modo semplice e veloce ed è basata sul servizio Ricerca di Azure. Il report sulla ricerca di persone offre una serie predefinita di entità estendibili, create da Microsoft, per identificare i dati personali usati per definire una persona e i ruoli a cui potrebbe essere assegnata.

Per altre informazioni, vedi il post di blog di Dynamics 365.

Screenshot della funzionalità di ricerca per pertinenza di Dynamics 365.

Il nuovo hub sulla privacy Windows converge i contenuti correlati sulla privacy Windows nella pagina docs.microsoft.com. Qui troverai nuove istruzioni per aiutare i decisori IT a prepararsi per il GDPR, un elenco di impostazioni di configurazione dei servizi Windows 10 usati per la protezione della privacy dei dati personali, informazioni sui dati diagnostici di Windows e molto altro ancora.

Gestione delle violazioni dei dati

L’entrata in vigore del GDPR implica anche che le organizzazioni dovranno rispettare normative più rigorose nel caso di violazioni dei dati. Microsoft 365 include un set completo di funzionalità, come Office 365 Advanced Threat Protection (ATP) o Azure ATP, per la protezione e il rilevamento di violazioni dei dati.

Inizia oggi stesso il tuo percorso verso la conformità al regolamento GDPR con Microsoft

Microsoft vanta una lunga esperienza nella protezione dei dati, nella tutela della privacy e nella conformità a normative complesse. Riteniamo che il GDPR rappresenti un importante passo in avanti per identificare e supportare i diritti alla privacy degli individui e forniamo garanzie relative a questo regolamento nei nostri impegni contrattuali.

Indipendentemente dalla fase raggiunta nel percorso verso la conformità al GDPR, puoi contare sul nostro supporto. Abbiamo diverse risorse disponibili per iniziare oggi stesso:

Scarica il white paper gratuito e l’eBook.
Segui una valutazione online gratuita del GDPR.
Trova un partner GDPR.

Scopri di più su come Microsoft può aiutarti con il GDPR.