Elenco di controllo per l'applicazione del GDPR all'uso di Microsoft 365
1. Introduzione
Questo elenco di controllo offre un modo pratico per accedere alle informazioni necessarie per l'applicazione del GDPR quando si usa Microsoft Office 365.
È possibile gestire gli elementi di questo elenco di controllo con Compliance Manager usando il codice e il nome dei controlli nel riquadro del GDPR che comprende i controlli gestiti dai clienti.
Inoltre, gli elementi in questo elenco di controllo sotto 5.Protezione dei dati & Sicurezza forniscono riferimenti ai controlli elencati in Controlli gestiti da Microsoft nel riquadro GDPR in Compliance Manager. La revisione dei dettagli di implementazione Microsoft per questi controlli fornisce una spiegazione aggiuntiva dell'approccio di Microsoft per soddisfare le considerazioni dei clienti nell'elemento dell'elenco di controllo.
L'elenco di controllo e Compliance Manager sono destinati ai responsabili del trattamento dei dati personali e comprendono i titoli e numeri di riferimento (indicati tra parentesi per ogni argomento) di alcuni controlli per la privacy e sicurezza tratti dagli standard:
- ISO/IEC 27701 per i requisiti di gestione sulla privacy.
- ISO/IEC 27701 per i requisiti delle tecniche di sicurezza.
Questa struttura viene usata anche per organizzare la presentazione dei controlli interni che Microsoft Office 365 implementa per supportare il GDPR e che è possibile scaricare dal Centro protezione del servizio.
2. Condizioni per la raccolta e il trattamento
Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
---|---|---|---|
Definire quando è necessario ottenere il consenso (7.2.3) | Il cliente deve comprendere i requisiti legali o normativi per ottenere il consenso degli interessati prima del trattamento dei dati personali (quando è necessario, se il tipo di trattamento è escluso dal requisito e così via), incluso il modo in cui viene raccolto il consenso. | Office 365 non fornisce il supporto diretto per ottenere il consenso dell'utente. | (6)(1)(a), (8)(1), (8)(2) |
Identificare e documentare la finalità (7.2.1) | Il cliente deve documentare lo scopo per cui vengono trattati i dati personali. | Descrizione del trattamento dei dati che Microsoft esegue per il cliente e le finalità di tale trattamento, che possono essere incluse nella documentazione relativa alla responsabilizzazione del cliente. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Trattamento dei dati personali; GDPR [1] |
(5)(1)(b), (32)(4) |
Identificare la liceità (7.2.2) | Il cliente deve comprendere i requisiti relativi alla liceità del trattamento, ad esempio se è necessario il previo consenso dell'interessato. | Descrizione del trattamento dei dati personali da parte dei servizi Microsoft che è possibile includere nella documentazione relativa alla responsabilizzazione del cliente. - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(() c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c) ), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
Definire quando è necessario ottenere il consenso (7.2.3) | Il cliente deve comprendere i requisiti legali o normativi per ottenere il consenso degli interessati prima del trattamento dei dati personali (quando è necessario, se il tipo di trattamento è escluso dal requisito e così via), incluso il modo in cui viene raccolto il consenso. | Office 365 non fornisce il supporto diretto per ottenere il consenso dell'utente. | (6)(1)(a), (8)(1), (8)(2) |
Ottenere e registrare il consenso (7.2.4) | Quando viene determinato che è necessario, il cliente deve ottenere il consenso in modo appropriato. Il cliente deve anche essere a conoscenza di eventuali requisiti per la presentazione e la raccolta di una richiesta di consenso. | Office 365 non fornisce il supporto diretto per ottenere il consenso dell'utente. | (7)(1), (7)(2), (9)(2)(a) |
Valutazione dell'impatto sulla protezione dei dati (7.2.5) | Il cliente deve essere a conoscenza dei requisiti per il completamento delle valutazioni dell'impatto sulla privacy (il momento in cui devono essere eseguite, le categorie di dati che potrebbero richiederne una, l'intervallo di tempo per completare la valutazione). | Il modo in cui i servizi Microsoft determinano quando eseguire una DPIA e una panoramica del programma DPIA in Microsoft, incluso il coinvolgimento del DPO, è disponibile nella pagina Valutazioni dell'impatto sulla protezione dei dati (DPIA) del portale di trust dei servizi. Per il supporto delle proprie valutazioni dell'impatto sulla protezione dei dati, vedere: - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(35) |
Contratti con i responsabili del trattamento dei dati personali (7.2.6) | Il cliente deve assicurarsi che i propri contratti con i responsabili del trattamento dati includano i requisiti per il supporto con tutti gli obblighi legali o regolamentari rilevanti correlati all'elaborazione e alla protezione dei dati personali. | I contratti Microsoft che determinano l'assistenza da fornire al cliente in relazione agli obblighi ai sensi del GDPR, incluso il supporto per i diritti dell'interessato. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Trattamento dei dati personali; GDPR [1] |
(5) (2) (28)(3)(e), (28)(9) |
Registri delle attività di trattamento dei dati personali (7.2.7) | Il cliente deve mantenere tutti i record necessari e necessari relativi al trattamento dei dati personali (ovvero, scopo, misure di sicurezza e così via). Qualora il registro delle attività sia di competenza di un rappresentante responsabile del trattamento per conto del cliente, quest'ultimo deve accertarsi di poterlo ottenere. | Gli strumenti forniti dai servizi Microsoft per gestire i registri delle attività sono utili per soddisfare gli obblighi previsti dal GDPR. - Eseguire una ricerca nel log di controllo nel Centro sicurezza e conformità di Office 365 [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Diritti degli interessati
Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
---|---|---|---|
Determinare ed esercitare i diritti degli interessati (7.3.1) | Il cliente deve comprendere i requisiti relativi ai diritti degli interessati per quanto riguarda il trattamento dei loro dati personali. Tali diritti possono includere caratteristiche come l'accesso, la correzione e la cancellazione. Se il cliente usa un sistema di terze parti, deve determinare quali parti del sistema (se presenti) forniscono gli strumenti correlati all'abilitazione degli utenti a esercitare i loro diritti (ad esempio, accedere ai loro dati). Se il sistema fornisce funzionalità di questo tipo, il cliente deve utilizzarle in base alle esigenze. | Le funzionalità fornite da Microsoft a supporto dei diritti degli interessati. - Richieste degli interessati di Office 365 per il GDPR [8] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see ISO, IEC 27018, 2014 control A.1.1 |
(12) (2) |
Definire le informazioni degli interessati (soggetti dei dati) (7.3.2) | Il cliente deve comprendere i requisiti per i tipi di informazioni sul trattamento dei dati personali che devono essere disponibili per l'utente. Ciò può includere elementi come: - Dettagli di contatto del titolare del trattamento dei dati o del suo rappresentante; - Informazioni riguardanti il trattamento (finalità, trasferimento internazionale e relative misure di sicurezza, periodo di conservazione e così via); - Informazioni su come l'interessato può accedere e/o modificare i propri dati personali; richiesta di cancellazione o limitazione del trattamento; ricezione di una copia dei propri dati personali e portabilità dei propri dati personali - Modalità e origine dei dati personali (se non ottenuti direttamente dall'interessato) - Informazioni riguardanti il diritto di presentare reclamo e a chi presentarlo; - Informazioni riguardanti le correzioni dei dati personali; - Notifica che l'organizzazione non è più in grado di identificare l'interessato (entità di sicurezza dei dati personali), nei casi in cui il trattamento non ne richieda più l'identificazione; - Trasferimento e/o diffusione di dati personali; - Presenza di processi decisionali automatizzati basati esclusivamente sul trattamento automatizzato di dati personali; - Informazioni sulla frequenza con cui le informazioni relative all'interessato sono aggiornate e fornite (ad esempio, notifica "just in time", frequenza definita dall'organizzazione e così via) Nel caso in cui il cliente utilizzasse responsabili del trattamento dei dati o sistemi di terze parti, dovrà determinare, eventualmente, quale di queste informazioni potrebbe dover fornire e assicurare di poter ottenere le informazioni richieste da terzi. |
Informazioni sui servizi Microsoft che è possibile includere nei dati forniti agli interessati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8] - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
Fornire informazioni agli interessati (7.3.3) | Il cliente deve rispettare eventuali requisiti su come/quando/in quale formato devono essere fornite le informazioni richieste a un singolo utente correlato al trattamento dei dati personali. Nei casi in cui una terza parte può specificare le informazioni necessarie, il cliente deve assicurarsi che sia compresa nei parametri richiesti dal GDPR. | Informazioni basate su modelli relativi ai servizi Microsoft che è possibile includere nei dati forniti agli interessati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8] - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
Fornire il meccanismo per modificare o revocare il consenso (7.3.4) | Il cliente deve comprendere i requisiti per informare gli utenti sul loro diritto di accedere, correggere e/o cancellare i propri dati personali e per fornire un meccanismo per cui farlo. Se viene usato un sistema di terze parti e fornisce questo meccanismo come parte della relativa funzionalità, il cliente deve utilizzare tale funzionalità in base alle esigenze. | Informazioni sulle funzionalità di servizi Microsoft che è possibile usare per definire le informazioni fornite agli interessati quando si richiede il consenso. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
Fornire un meccanismo per opporsi al trattamento (7.3.5) | Il cliente deve comprendere i requisiti relativi ai diritti degli interessati. Quando un individuo ha il diritto di opporsi all'elaborazione, il cliente deve informarlo e avere un modo per l'individuo di registrare la propria obiezione. | Informazioni sui servizi Microsoft relativi all'oggetto da elaborare che è possibile includere nei dati forniti agli interessati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8], vedere Passaggio 4: limitazione |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
Condividere l'esercizio dei diritti degli interessati (7.3.6) | Il cliente deve comprendere i requisiti per la notifica di terze parti con cui i dati personali dell'utente sono stati condivisi, delle istanze di una modifica dei dati apportata ai dati in base a questa procedura diritti individuali (ad esempio un singolo utente che richiede la cancellazione o la modifica e così via) | Informazioni sulle funzionalità di servizi Microsoft che consentono di individuare i dati personali condivisi con servizi di terze parti. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8] |
(19) |
Rettifica o cancellazione (7.3.7) | Il cliente deve comprendere i requisiti per informare gli utenti sul loro diritto di accedere, correggere e/o cancellare i propri dati personali e per fornire un meccanismo per cui farlo. Se viene usato un sistema di terze parti e fornisce questo meccanismo come parte della relativa funzionalità, il cliente deve utilizzare tale funzionalità in base alle esigenze. | Informazioni basate su modelli riguardanti i servizi Microsoft relativi alla capacità di accedere, correggere o eliminare i dati personali che possono essere inclusi nei dati forniti agli interessati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8], vedere Passaggio 5: eliminazione |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
Fornire una copia dei dati personali elaborati (7.3.8) | Il cliente deve comprendere i requisiti sulla fornitura di una copia dei dati personali in fase di elaborazione al singolo utente. Tali requisiti possono includere il formato della copia (ad esempio se è leggibile dal computer), il trasferimento della copia e così via. Se il cliente usa un sistema di terzi che offre la funzionalità per fornire delle copie, tale funzionalità deve essere utilizzata se necessario. | Informazioni sulle funzionalità nei servizi Microsoft per consentire di ottenere una copia dei loro dati personali che possono essere inclusi nei dati forniti al soggetto dei dati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8], vedere Passaggio 6: esportazione |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
Gestione richieste (7.3.9) | Il cliente deve comprendere i requisiti per l'accettazione e la risposta a richieste legittime da parte di persone correlate al trattamento dei propri dati personali. Quando il cliente usa un sistema di terze parti, deve comprendere se tale sistema fornisce le funzionalità per la gestione delle richieste. In tal caso, il cliente deve utilizzare tali meccanismi per gestire le richieste in base alle esigenze. | Informazioni sulle funzionalità di servizi Microsoft che è possibile usare nel definire le informazioni fornite agli interessati quando si gestiscono le richieste degli interessati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8]. Il cliente deve comprendere i requisiti relativi al trattamento automatizzato dei dati personali e quali decisioni vengono prese da tale automazione. Possono essere incluse le informazioni sul trattamento di un singolo utente, l'opposizione a tale trattamento o l'ottenimento dell'intervento umano. Se queste funzionalità sono fornite da un sistema di terze parti, il cliente deve verificare che la terza parte fornisca le informazioni o il supporto richiesto. Informazioni sulle funzionalità di servizi Microsoft in grado di supportare il processo decisionale automatizzato che è possibile utilizzare nella documentazione relativa alla responsabilizzazione del cliente e informazioni basate su modelli per gli interessati riguardo queste funzionalità. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacy da progettazione e per impostazione predefinita
Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
---|---|---|---|
Limitazione della raccolta (7.4.1) | Il cliente deve comprendere i requisiti relativi ai limiti sulla raccolta dei dati personali (ad esempio che la raccolta deve essere limitata alle informazioni necessarie per uno scopo specifico). | Una descrizione dei dati raccolti dai servizi Microsoft. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Trattamento dei dati personali; GDPR [1] - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(5)(1)(b), (5)(1)(c) |
Limitazione del trattamento (7.4.2) | Il cliente è responsabile della limitazione dell'elaborazione dei dati personali in modo che siano adeguati allo scopo identificato. | Una descrizione dei dati raccolti dai servizi Microsoft. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Trattamento dei dati personali; GDPR [1] - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(25)(2) |
Definire e documentare la riduzione al minimo dei dati personali e la deidentificazione degli obiettivi (7.4.3) | Il cliente deve comprendere i requisiti relativi alla de-identificazione dei dati personali, ad esempio quando deve essere utilizzata, la misura in cui deve essere utilizzata e i casi in cui non può essere utilizzata. | Microsoft applica la deidentificazione e la creazione di uno pseudonimo internamente, se appropriato, per fornire misure di sicurezza della privacy aggiuntive per i dati personali. | (5)(1)(c) |
Conformarsi ai livelli di identificazione (7.4.4) | Il cliente deve usare e rispettare gli obiettivi della deidentificazione degli obiettivi e dei metodi stabiliti per l'organizzazione. | Microsoft applica la deidentificazione e la creazione di uno pseudonimo internamente, se appropriato, per fornire misure di sicurezza della privacy aggiuntive per i dati personali. | (5)(1)(c) |
Deidentificare ed eliminare i dati personali (7.4.5) | Il cliente deve comprendere i requisiti relativi alla conservazione dei dati personali oltre il suo utilizzo per gli scopi identificati. Se forniti dal sistema, il cliente deve utilizzare tali strumenti per cancellare o eliminare in base alle esigenze. | Funzionalità fornite dai servizi cloud Microsoft per supportare i criteri di conservazione dei dati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8], vedere Passaggio 5: eliminazione |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
File temporanei (7.4.6) | Il cliente deve essere consapevole dei file temporanei che potrebbero essere creati dal sistema e portare alla mancata conformità con i criteri relativi all'elaborazione dei dati personali (ad esempio, i dati personali potrebbero essere conservati in un file temporaneo più a lungo del necessario o di quanto consentito). Se il sistema fornisce gli strumenti per il controllo o l'eliminazione dei file temporanei, il cliente deve utilizzare tali strumenti per soddisfare i requisiti. | Descrizione delle funzionalità offerte dal servizio per identificare i dati personali per supportare i criteri dei file temporanei. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8], vedere Passaggio 1: individuazione |
(5)(1)(c) |
Conservazione (7.4.7) | Il cliente deve determinare per quanto tempo conservare i dati personali, prendendo in considerazione lo scopo identificato. | Informazioni sulla conservazione dei dati personali da parte dei servizi Microsoft da includere nella documentazione fornita agli interessati. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Protezione dei dati, Conservazione [1] |
(13)(2)(a), (14)(2)(a) |
Smaltimento (7.4.8) | Il cliente deve utilizzare qualsiasi meccanismo di cancellazione o eliminazione fornito dal sistema per eliminare i dati personali. | Funzionalità fornite dai servizi cloud di Microsoft per supportare i criteri di eliminazione dati. -* Richieste degli interessati per Office 365 nell'ambito del GDPR* [8], vedere Passaggio 5: eliminazione |
(5)(1)(f) |
Procedure di raccolta (7.4.9) | Il cliente deve essere consapevole dei requisiti relativi all'accuratezza dei dati personali (ad esempio, la precisione al momento della raccolta, mantenere aggiornati i dati e così via) e utilizzare i meccanismi forniti dal sistema. | In che modo i servizi Microsoft supportano l'accuratezza dei dati personali e tutte le funzionalità che forniscono per supportare i criteri di accuratezza dei dati. - Richieste degli interessati per Office 365 nell'ambito del GDPR [8], vedere Passaggio 3: rettifica |
(5)(1)(d) |
Controlli di trasmissione (7.4.10) | Il cliente deve comprendere i requisiti relativi alla sicurezza della trasmissione dei dati personali, incluso chi ha accesso ai meccanismi di trasmissione, i registri di trasmissione e così via. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
Identificare la base per il trasferimento di informazioni personali (7.5.1) | Il cliente deve essere a conoscenza dei requisiti per il trasferimento dei dati personali dell'utente (informazioni personali) in un'altra posizione geografica e documentare quali misure sono disponibili per soddisfare tali requisiti. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
Articoli (44), (45) (46), (47), (48) e (49) |
Aree geografiche e organizzazioni a cui potrebbero essere trasferiti i dati personali (7.5.2) | Il cliente deve comprendere ed essere in grado di fornire al singolo paese i paesi in cui i dati personali sono o possono essere trasferiti. Se un terzo/responsabile del trattamento può eseguire questo trasferimento, il cliente deve ottenere queste informazioni dal responsabile del trattamento. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(30)(1)(e) |
Registri dei trasferimenti dei dati personali (7.5.3) | Il cliente deve mantenere tutti i record necessari e necessari relativi ai trasferimenti di dati personali. Se un terzo/responsabile del trattamento esegue il trasferimento, il cliente deve assicurarsi di mantenere i record appropriati e di ottenerli in base alle esigenze. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] |
(30)(1)(e) |
Registri delle divulgazioni di dati personali a terze parti (7.5.4) | Il cliente deve comprendere i requisiti relativi alla registrazione a cui sono stati comunicati i dati personali. Ciò può includere la divulgazione alle forze dell'ordine e così via. Se un terzo/responsabile del trattamento divulga i dati, il cliente deve assicurarsi di mantenere i record appropriati e di ottenerli in base alle esigenze. | Documentazione fornita in merito alle categorie di destinatari della divulgazione di dati personali, compresi i registri di divulgazione disponibili. - Chi può accedere ai dati e secondo quali condizioni [6] |
(30)(1)(d) |
Titolare del trattamento dei dati congiunto (7.5.5) | Il cliente deve determinare se è titolare congiunto con qualsiasi altra organizzazione e documentare e assegnare adeguatamente le responsabilità. | Documentazione dei servizi Microsoft che svolgono il ruolo di titolari del trattamento dei dati personali, incluse le informazioni basate su modelli che possono essere incluse nella documentazione relativa agli interessati. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Trattamento dei dati personali; GDPR [1] |
5. Protezione e sicurezza dei dati
Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
---|---|---|---|
Comprendere l'organizzazione e il contesto (5.2.1) | I clienti devono determinare il loro ruolo nell'elaborazione dei dati personali (ad esempio titolare, responsabile, contitolare) per identificare i requisiti appropriati (regolamentazione e così via) per l'elaborazione dei dati personali. | In che modo Microsoft considera ciascun servizio come responsabile o titolare durante il trattamento dei dati personali. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Trattamento dei dati personali; GDPR, Ruoli e responsabilità del titolare e del responsabile del trattamento dei dati [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
Comprendere le esigenze e le aspettative delle parti interessate (5.2.2) | I clienti devono identificare le parti che possono avere un ruolo o un interesse per l'elaborazione dei dati personali (ad esempio regolatori, revisori, soggetti dei dati, responsabili del trattamento dei dati personali con contratto) e prestare particolare attenzione ai requisiti per partecipare a tali parti se necessario. | In che modo Microsoft incorpora le opinioni di tutte le parti interessate in considerazione dei rischi connessi al trattamento dei dati personali. - Informazioni essenziali di Office 365 per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti[10] - Manuale ISM di Office 365 [14], vedere 4.2 COMPRENDERE LE ESIGENZE E LE ASPETTATIVE DELLE PARTI INTERESSATE - Comprendere le esigenze e le aspettative delle parti interessate 5.2.2 in Compliance Manager |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
Determinare l'ambito del sistema di gestione della sicurezza delle informazioni (5.2.3, 5.2.4) | Nell'ambito di un programma di privacy o di protezione globale di un cliente, dovrebbero essere inclusi l'elaborazione dei dati personali e i requisiti relativi ad essa. | Come i servizi Microsoft includono l'elaborazione dei dati personali nella gestione della sicurezza delle informazioni e nei programmi di protezione dei dati personali. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12], vedere A.19 - Report di controllo SOC 2 di tipo 2 [11] - Manuale di Office 365 ISMS [14] vedere 4. Contesto dell'organizzazione - 5.2.3 Determinare l'ambito del sistema di gestione della sicurezza delle informazioni in Compliance Manager - 5.2.4 Sistema di gestione della sicurezza delle informazioni in Compliance Manager |
(32)(2) |
Pianificazione (5.3) | I clienti devono prendere in considerazione i dati personali come parte di qualsiasi valutazione del rischio che viene completata e applicare i controlli che ritengono necessari per ridurre i rischi correlati ai dati personali controllati. | In che modo i servizi Microsoft considerano i rischi specifici per il trattamento dei dati personali come parte del loro programma di sicurezza e privacy complessivo. - Manuale ISMS di Office 365 [14], vedere 5.2 Criteri - 5.3 Pianificazione in Compliance Manager |
(32)(1)(b), (32)(2) |
Criteri di sicurezza delle informazioni (6.2) | Il cliente deve aggiungere i criteri di protezione delle informazioni esistenti per includere la protezione dei dati personali, compresi i criteri necessari per la conformità alle normative applicabili. | Criteri Microsoft per la sicurezza delle informazioni e misure specifiche per la protezione delle informazioni personali. - Microsoft Office 365 (All-Up) ISO/IEC 27001:2013 ISMS Statement of Applicability [12], vedere A.19 - Report di controllo SOC 2 di tipo 2 [11] - 6.2 Criteri per la sicurezza delle informazioni in Compliance Manager |
24(2) |
Considerazione del cliente sull'organizzazione della sicurezza delle informazioni (6.3) | Il cliente, all’interno dell’organizzazione, deve definire le responsabilità in materia di sicurezza e protezione dei dati personali. Questo include la creazione di ruoli specifici per la supervisione delle questioni relative alla privacy, tra cui il ruolo di responsabile della protezione dei dati. È opportuno fornire una formazione appropriata e assistenza alla gestione per supportare questi ruoli. | Panoramica del ruolo del responsabile della protezione dei dati di Microsoft, della natura dei suoi compiti, della struttura di segnalazione e delle informazioni di contatto. - Responsabile della protezione dei dati di Microsoft [18] - Manuale ISMS di Office 365 [14], vedere 5.3 RUOLI, RESPONSABILITÀ E AUTORITÀ ORGANIZZATIVE - 6.3 Organizzazione della sicurezza delle informazioni in Compliance Manager |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
Sicurezza delle risorse umane (6.4) | Il cliente deve determinare e assegnare la responsabilità di fornire formazione relativa alla protezione dei dati personali dell'utente. | Panoramica del ruolo del responsabile della protezione dei dati di Microsoft, della natura dei suoi compiti, della struttura di segnalazione e delle informazioni di contatto. - Responsabile della protezione dei dati di Microsoft [18] - Manuale ISMS di Office 365 [14], vedere 5.3 RUOLI, RESPONSABILITÀ E AUTORITÀ ORGANIZZATIVE -6.4 Sicurezza delle risorse umane in Compliance Manager |
(39)(1)(b) |
Classificazione delle informazioni (6.5.1) | È consigliabile che il cliente consideri in modo esplicito i dati personali nell'ambito di uno schema di classificazione dei dati. | Funzionalità di Office 365 per supportare la classificazione dei dati personali. - Information Protection di Office 365 per il GDPR [5], vedere Progettare uno schema di classificazione per i dati personali - 6.5.1 Classificazione delle informazioni in Compliance Manager |
(39)(1)(b) |
Gestione dei supporti rimovibili (6.5.2) | Il cliente deve determinare i criteri interni per l'uso di supporti rimovibili in relazione alla protezione dei dati personali dell'utente (ad esempio crittografia dispositivi). | In che modo i servizi Microsoft proteggono la sicurezza delle informazioni personali sui supporti rimovibili. - FedRAMP medio, Piano di sicurezza del sistema FedRAMP (SSP) [3], vedere 13.10 Protezione media (MP) - Gestione dei supporti rimovibili in Compliance Manager |
(32)(1)(a), (5)(1)(f) |
Trasferimento di supporti fisici (6.5.3) | Il cliente deve determinare i criteri interni per la protezione dei dati personali durante il trasferimento dei supporti fisici (ad esempio la crittografia). | In che modo i servizi Microsoft proteggono i dati personali durante il trasferimento di supporti fisici. - FedRAMP medio, Piano di sicurezza del sistema FedRAMP (SSP) [3] vedere 13.10 Protezione media (MP) - 6.5.3 Trasferimento di supporti fisici in Compliance Manager |
(32)(1)(a), (5)(1)(f) |
Gestione degli accessi utente (6.6.1) | Il cliente deve essere consapevole delle responsabilità che ha per il controllo dell'accesso all'interno del servizio che sta utilizzando e gestire tali responsabilità in maniera appropriata, con gli strumenti disponibili. | Strumenti forniti dai servizi Microsoft per aiutare a rafforzare il controllo degli accessi. Documentazione sulla sicurezza di Office 365 [2], vedere Proteggere l'accesso a dati e servizi in Office 365 - 6.6.1 Gestione degli accessi utente in Compliance Manager |
(5)(1)(f) |
Registrazione dell'utente e annullamento della registrazione (6.6.2) | Il cliente deve gestire la registrazione utente e l'annullamento della registrazione all'interno del servizio in uso, con gli strumenti disponibili. | Strumenti forniti dai servizi Microsoft per aiutare a rafforzare il controllo degli accessi. Documentazione sulla sicurezza di Office 365 [2], vedere Proteggere l'accesso a dati e servizi in Office 365 - 6.6.2 Registrazione dell'utente e annullamento della registrazione in Compliance Manager |
(5)(1)(f) |
Provisioning di accesso utente (6.6.3) | Il cliente deve gestire i profili utente, specialmente per l'accesso autorizzato ai dati personali, all'interno del servizio in uso, con gli strumenti disponibili. | In che modo i servizi Microsoft supportano il controllo dell'accesso formale ai dati personali, inclusi gli ID utente, i ruoli, l'accesso alle applicazioni e la registrazione e l'annullamento della registrazione degli utenti. Documentazione sulla sicurezza di Office 365 [2], vedere Proteggere l'accesso a dati e servizi in Office 365 - Usare le restrizioni del tenant per gestire l'accesso alle applicazioni cloud SaaS [15] Provisioning di accesso utente in Compliance Manager |
(5)(1)(f) |
Gestione accessi con privilegi (6.6.4) | Il cliente deve gestire gli ID utente per semplificare la verifica dell'accesso (specialmente ai dati personali), all'interno del servizio in uso e con gli strumenti disponibili. | In che modo i servizi Microsoft supportano il controllo dell'accesso formale ai dati personali, inclusi gli ID utente, i ruoli e la registrazione e l'annullamento della registrazione degli utenti. - Documentazione sulla sicurezza di Office 365 2, vedere Proteggere l'accesso a dati e servizi in Office 365 - Utilizzare le restrizioni del tenant per gestire l'accesso alle applicazioni cloud SaaS [15] -6.6.4 Gestione accessi con privilegi Compliance Manager |
(5)(1)(f) |
Procedure di accesso protetto (6.6.5) | Il cliente deve utilizzare meccanismi disponibili nel servizio per garantire l'accesso sicuro alle funzionalità per gli utenti se necessario. | In che modo i servizi Microsoft supportano criteri per il controllo di accesso interno relativi ai dati personali. - Chi può accedere ai dati e secondo quali termini [6] - 6.6.5 Procedure di accesso protetto in Compliance Manager |
(5)(1)(f) |
Crittografia (6.7) | Il cliente deve determinare quali dati potrebbero dover essere crittografati e se il servizio che utilizza offre questa funzionalità. Il cliente deve utilizzare la crittografia in base alle esigenze, usando gli strumenti disponibili. | In che modo i servizi Microsoft supportano la crittografia e la creazione degli pseudonimi per ridurre il rischio nel trattamento dati personali. - FedRAMP medio, Piani di sicurezza del sistema FedRAMP (SSP), vedere Cosmos pp29 - 6.7 Crittografia in Compliance Manager |
(32)(1)(a) |
Eliminazione sicura o riutilizzo delle attrezzature (6.8.1) | Se il cliente usa servizi di cloud computing (PaaS, SaaS, IaaS) deve comprendere in che modo il provider di servizi cloud assicura che i dati personali dell'utente siano cancellati dallo spazio di archiviazione prima che tale spazio sia assegnato a un altro cliente. | In che modo i servizi Microsoft garantiscono che i dati personali vengano cancellati dalle apparecchiature di archiviazione prima che tale apparecchiatura venga trasferita o riutilizzata. - FedRAMP medio, Piano di sicurezza del sistema FedRAMP (SSP) [3] vedere 13.10 Protezione media (MP) - 6.8.1 Eliminazione sicura o riutilizzo delle attrezzature in Compliance Manager |
(5)(1)(f) |
Politiche della scrivania e dello schermo puliti (6.8.2) | Il cliente deve considerare i rischi relativi al materiale cartaceo che mostra i dati personali e limitare possibilmente la creazione di tale materiale. Se il sistema in uso consente di limitare l'operazione, ad esempio le impostazioni per evitare la stampa o il copia e incolla di dati sensibili, il cliente deve considerare la necessità di usare tali funzionalità. | In che modo Microsoft consente di gestire il materiale cartaceo. - Microsoft gestisce questi controlli internamente, vedere Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] A.10.2, A.10.7 e A.4.1 - 6.8.2 Politiche della scrivania e dello schermo puliti in Compliance Manager |
(5)(1)(f) |
Separazione di ambienti di sviluppo, test e operativi (6.9.1) | Il cliente deve considerare le implicazioni relative all'uso dei dati personali negli ambienti di sviluppo e test all'interno dell'organizzazione. | In che modo Microsoft garantisce che i dati personali siano protetti negli ambienti di sviluppo e test. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12], vedere A.12.1.4 - 6.9.1 Separazione degli ambienti di sviluppo, di test e operativi in Compliance Manager |
5(1)(f) |
Backup delle informazioni (6.9.2) | Il cliente deve garantire di utilizzare funzionalità fornite dal sistema per creare ridondanza dei dati e verificare se necessario. | In che modo Microsoft garantisce la disponibilità dei dati che possono includere dati personali, come viene garantita l'accuratezza dei dati ripristinati e quali strumenti e procedure vengono forniti dai servizi Microsoft per consentire di eseguire il backup e il ripristino dei dati. - FedRAMP medio, Piano di sicurezza del sistema FedRAMP (SSP) [3] vedere 10.9 Disponibilità - 6.9.2 Backup delle informazioni in Compliance Manager |
(32)(1)(c), (5)(1)(f) |
Registrazione eventi (6.9.3) | Il cliente deve comprendere appieno le funzionalità di registrazione fornite dal sistema e utilizzarle per garantire la possibilità di registrare le azioni correlate ai dati personali che ritengono necessari. | I dati del servizio Microsoft registrano, insieme alle attività dell'utente, le eccezioni, i guasti e gli eventi di sicurezza delle informazioni e come è possibile accedere a tali registri da utilizzare come parte del mantenimento dei record. - Eseguire una ricerca nel log di controllo nel Centro sicurezza e conformità di Office 365 [16] - 6.9.3 Registrazione eventi in Compliance Manager |
(5)(1)(f) |
Protezione delle informazioni di registro (6.9.4) | Il cliente deve prendere in considerazione i requisiti per la protezione delle informazioni di log che possono contenere dati personali o che possono contenere record correlati al trattamento dei dati personali. Se il sistema in uso offre funzionalità per proteggere i log, il cliente deve usare queste funzionalità se necessario. | In che modo Microsoft protegge i registri contenenti i dati personali. - Eseguire una ricerca nel log di controllo nel Centro sicurezza e conformità di Office 365 [16] - 6.9.4 Protezione delle informazioni di registro in Compliance Manager |
(5)(1)(f) |
Criteri e procedure di trasferimento delle informazioni (6.10.1) | Il cliente deve avere procedure per i casi in cui i dati personali possono essere trasferiti su supporti fisici (ad esempio un disco rigido spostato tra server o strutture). Questi possono includere log, autorizzazioni e rilevamento. Se un terzo o un altro responsabile del trattamento può trasferire supporti fisici, il cliente deve assicurarsi che l'organizzazione disponga di procedure per garantire la sicurezza dei dati personali. | In che modo i servizi Microsoft trasferiscono i supporti fisici che possono contenere dati personali, incluse le circostanze in cui può avere luogo il trasferimento e le misure di protezione intraprese per proteggere i dati. - FedRAMP medio, Piano di sicurezza del sistema FedRAMP (SSP) [3] vedere 13.10 Protezione media (MP) - 6.10.1 Criteri e procedure di trasferimento delle informazioni in Compliance Manager |
(5)(1)(f) |
Accordi di riservatezza o non divulgazione (6.10.2) | Il cliente deve determinare la necessità di accordi di riservatezza o di misure equivalenti per gli utenti con accesso o responsabilità collegate ai dati personali. | In che modo i servizi Microsoft garantiscono che gli utenti singoli con accesso autorizzato ai dati personali si impegnano a mantenere la riservatezza. - Report di controllo di tipo 2 SOC 2 [11] vedere CC1.4 pp33 - 6.10.2 Accordi di riservatezza o non divulgazione in Compliance Manager |
(5)(1)(f), (28)(3)(b), (38)(5) |
Proteggere i servizi applicativi sulle reti pubbliche (6.11.1) | Il cliente deve comprendere i requisiti per la crittografia dei dati personali, in particolare quando viene inviato tramite reti pubbliche. Se il sistema fornisce meccanismi per crittografare i dati, il cliente deve utilizzare tali meccanismi se necessario. | Descrizione delle misure adottate dai servizi Microsoft per proteggere i dati in transito (tra cui la crittografia dei dati) e del modo in cui i servizi Microsoft proteggono i dati che possono contenere dati personali quando passano attraverso le reti pubbliche, tra cui le misure di crittografia. - Crittografia in Microsoft Cloud [17], vedere Crittografia dei dati dei clienti in transito - 6.11.1 Protezione dei servizi applicativi sulle reti pubbliche in Compliance Manager |
(5)(1)(f), (32)(1)(a) |
Principi di progettazione dei sistemi protetti (6.11.2) | Il cliente deve comprendere in che modo i sistemi sono stati progettati e organizzati per considerare la protezione dei dati personali. Nel caso in cui un cliente usi un sistema progettato da terze parti, è loro responsabilità assicurare che tali protezioni siano state considerate. | In che modo i servizi Microsoft includono i principi di protezione dei dati personali come parte obbligatoria dei principi di progettazione. - Report di controllo di tipo 2 SOC 2 [11] vedere Security Development Lifecycle pp23, CC7.1 pp45 Principi di progettazione dei sistemi protetti in Compliance Manager |
(25)(1) |
Relazioni con i fornitori (6.12) | Il cliente deve verificare che i requisiti di sicurezza delle informazioni e di protezione dei dati personali che ricadono sotto la responsabilità di terze parti siano trattati nelle informazioni contrattuali o in altri accordi. Gli accordi devono anche riguardare le istruzioni per il trattamento. | In che modo i servizi Microsoft affrontano la sicurezza e la protezione dei dati negli accordi con i fornitori e in che modo garantiamo che tali accordi siano effettivamente implementati. - Chi può accedere ai dati e secondo quali termini [6] - Contratti per rappresentanti responsabili del trattamento per conto del cliente: sottoscrivere un contratto con Microsoft [7] - 6.12 Relazioni con i fornitori in Compliance Manager |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
Gestione degli incidenti e dei miglioramenti di sicurezza delle informazioni (6.13.1) | I clienti devono disporre delle procedure per poter determinare quando si è verificata una violazione di dati personali dell'utente. | In che modo i servizi Microsoft determinano se un incidente di sicurezza è una violazione dei dati personali e come viene comunicata tale violazione all'utente. - Office 365 e notifica di violazione nell'ambito del GDPR [9] - 6.13.1 Gestione degli incidenti e dei miglioramenti di sicurezza delle informazioni in Compliance Manager |
(33)(2) |
Responsabilità e procedure (durante gli incidenti di sicurezza delle informazioni) (6.13.2) | Il cliente deve comprendere e documentare le proprie responsabilità durante una violazione dei dati o un evento imprevisto di sicurezza che coinvolge dati personali. Le responsabilità possono includere la notifica alle parti necessarie, le comunicazioni con i responsabili del trattamento o altre terze parti e le responsabilità all'interno dell'organizzazione del cliente. | Come comunicare ai servizi Microsoft se si rileva un incidente di sicurezza o una violazione dei dati personali. - Office 365 e notifica di violazione nell'ambito del GDPR [9] - 6.13.2 Responsabilità e procedure in Compliance Manager |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
Risposta agli incidenti di sicurezza delle informazioni (6.13.3) | I clienti devono disporre delle procedure per poter determinare quando si è verificata una violazione di dati personali dell'utente. | Descrizioni delle informazioni fornite dai servizi Microsoft per consentire all'utente di stabilire se si è verificata una violazione dei dati personali. - Office 365 e notifica di violazione nell'ambito del GDPR [9] - 6.13.3 Risposta agli incidenti di sicurezza delle informazioni in Compliance Manager |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
Protezione dei registri (6.15.1) | Il cliente deve comprendere i requisiti per i registri relativi al trattamento dei dati del personale che devono essere mantenuti. | In che modo i servizi Microsoft archiviano i registri relativi all'elaborazione dei dati personali. - Eseguire una ricerca nel log di controllo nel Centro sicurezza e conformità di Office 365 [16] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12], vedere A.18.1.3 - Manuale ISMS di Office 365 [14], vedere 9 Valutazione delle prestazioni |
(5)(2), (24)(2) |
Verifica indipendente della sicurezza delle informazioni (6.15.2) | Il cliente deve essere a conoscenza dei requisiti per la valutazione della sicurezza del trattamento dei dati personali. Questo può includere l’esecuzione di controlli interni o esterni o altre misure di valutazione della sicurezza dell’elaborazione. Se il cliente è dipendente di un’organizzazione di terze parti per tutto o parte del processo di elaborazione, è necessario raccogliere informazioni sulle valutazioni eseguite dall'organizzazione. | In che modo i servizi Microsoft testano e valutano l'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione, inclusi i controlli effettuati da terzi. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere, vedere Protezione dei dati, Conformità controllo [1] - Manuale ISMS di Office 365 [14], vedere 9 Valutazione delle prestazioni - 6.15.2 Verifica indipendente della sicurezza delle informazioni in Compliance Manager |
(32)(1)(d), (32)(2) |
Verifica di conformità tecnica (6.15.3) | Il cliente deve comprendere i requisiti per la verifica e la valutazione della sicurezza dell’elaborazione dei dati personali. Questo può includere l’esecuzione di test tecnici come il test di penetrazione. Laddove il cliente usi un sistema o un processore di terze parti, deve comprendere quali responsabilità hanno nella protezione e nei test della sicurezza, ad esempio la gestione delle configurazioni per la protezione dei dati e la successiva verifica delle impostazioni di configurazione. Se le terze parti sono responsabili di tutto o parte del processo di elaborazione, il cliente deve comprendere che tipo di test o di valutazioni vengono eseguiti per garantire la sicurezza dell'elaborazione. | In che modo vengono verificati i servizi Microsoft sulla sicurezza in base ai rischi identificati, inclusi i test di terze parti e i tipi di test tecnici e tutti i report disponibili dai test. - Condizioni per l'utilizzo dei servizi online Microsoft, Condizioni per la protezione dei dati, vedere Protezione dei dati, Conformità controllo [1] - Per un elenco di certificazioni esterne, vedere Offerte per la conformità del Centro protezione Microsoft [13] - Per altre informazioni sui test di penetrazione delle applicazioni, vedere FedRAMP medio, Piano di sicurezza del sistema FedRAMP (SSP) [3], Test di penetrazione CA-8 (M) (H) pp204 - 6.15.3 Revisione della conformità tecnica in Manager |
(32)(1)(d), (32)(2) |