Rispondere alle richieste di diritti dell'interessato per Microsoft Dynamics 365 Project Operations

Questa guida fornisce le risorse su come usare i prodotti, i servizi e gli strumenti di amministrazione per aiutare i clienti titolari del trattamento a reperire i dati personali e ad agire su tali dati per rispondere alle richieste di diritti dell'interessato per Microsoft Dynamics 365 Project Operations. In particolare, le informazioni includono indicazioni per trovare, accedere e agire sui dati o sulle informazioni personali che risiedono in Microsoft Cloud. Questa guida ti aiuterà nel seguente processo:

• Individua: usa strumenti di individuazione e di ricerca per trovare più facilmente i dati dei clienti che possono essere l'oggetto di una richiesta DSR. Dopo aver raccolto i documenti potenzialmente rilevanti, è possibile eseguire una o più delle azioni di richiesta dell'interessato descritte nei passaggi seguenti per rispondere alla richiesta. In alternativa, è possibile determinare che la richiesta non soddisfa le linee guida dell'organizzazione per la risposta alle richieste DSR.
• Accesso: recuperare i dati personali che risiedono in Microsoft Cloud e, se necessario, eseguire una copia dei dati disponibili all'interessato.
• Rettifica: apportare modifiche o implementare altre azioni richieste sui dati personali, dove applicabile.
• Limita: limita l'elaborazione dei dati personali, rimuovendo le licenze per vari servizi online o disattivando i servizi desiderati, laddove possibile.
• Elimina: rimuove definitivamente dati personali che risiedono in Microsoft Cloud.
• Esporta/ricevi (portabilità): fornisce una copia elettronica (in formato leggibile da computer) dei dati o delle informazioni personali all'interessato.

Questa guida illustra le procedure tecniche che un'organizzazione titolare del trattamento può eseguire per rispondere a una richiesta del soggetto interessato in merito ai dati personali presenti in Microsoft Cloud.

Per maggiori dettagli sui diritti degli interessati, come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea e il California Consumer Privacy Act (CCPA), vedi California Consumer Privacy Act.

In che modo questa guida può aiutarti a soddisfare le responsabilità del titolare del trattamento

La guida, divisa in due parti, descrive come utilizzare i prodotti, i servizi e gli strumenti amministrativi di Microsoft per aiutarti a trovare e agire sui dati in Microsoft Cloud in risposta alle richieste degli interessati che esercitano i loro diritti ai sensi del GDPR. La prima parte riguarda i dati personali inclusi nei dati dei clienti. Segue una parte dedicata ad altri dati personali pseudonimizzati, acquisiti nei registri generati dal sistema.

• Parte 1:risposta alle richieste di diritti degli interessati per i dati personali inclusi nei dati dei clienti: la prima parte di questa guida illustra come accedere, rettificare, limitare, eliminare ed esportare i dati personali da Dynamics 365 Project Operations (Software as a Service), che vengono elaborati come parte dei dati dei clienti forniti al servizio online.
• Parte 2: Risposta alle richieste DSR per dati pseudonimizzati: quando si utilizza Dynamics 365 Project Operations, Microsoft genera alcune informazioni (indicate nel presente documento come registri generati dal sistema) per fornire il servizio. Queste informazioni si limitano all'impronta di utilizzo lasciata dagli utenti finali per identificare le loro azioni nel sistema. Sebbene questi dati non possano essere attribuiti a un soggetto specifico senza l'uso di informazioni aggiuntive, alcuni di essi possono essere considerati personali ai sensi del GDPR. La parte 2 di questa guida illustra come accedere, eliminare ed esportare i log generati dal sistema prodotti da Dynamics 365 Project Operations.

Preparazione alle indagini sui diritti dell'interessato

Quando gli interessati esercitano i loro diritti e fanno richieste, considera i seguenti punti:

• Identifica correttamente la persona e il ruolo, come dipendente, cliente, fornitore, utilizzando le informazioni che l'interessato ti ha fornito come parte della sua richiesta. Queste informazioni potrebbero essere un nome, un ID dipendente, un numero cliente o un altro identificatore.
• Registra la data e l'ora della richiesta. (Hai 30 giorni per completare la richiesta.)
• Conferma che la richiesta soddisfa i requisiti dell'organizzazione per onorare o rifiutare la richiesta dell'interessato. Ad esempio, devi assicurarti che l'esecuzione della richiesta non sia in conflitto con altri tuoi obblighi legali, finanziari o regolamentari o non violi i diritti e le libertà altrui.
• Verifica di disporre delle informazioni correlate alla richiesta.

Parte 1: Guida DSR per i dati dei clienti

Esecuzione di DSR sui dati dei clienti

Microsoft offre la possibilità di accedere, eliminare ed esportare determinati dati dei clienti tramite il portale di Azure e anche direttamente tramite interfacce di programmazione delle applicazioni (API) o interfacce utente (UI) preesistenti per servizi specifici (definite anche esperienze all'interno del prodotto). I dettagli su tali esperienze all'interno del prodotto Dynamics 365 Project Operations sono descritti in questa guida.

Discover

Il primo passaggio in risposta alla richiesta DSR consiste nel trovare i dati personali oggetto della richiesta. Il primo passaggio, ovvero la ricerca e la revisione dei dati personali oggetto della richiesta, consentirà di determinare se una richiesta DSR soddisfa i requisiti dell'organizzazione in termini di accettazione o rifiuto di richieste DSR. Ad esempio, dopo aver trovato ed esaminato i dati personali oggetto della richiesta, puoi determinare che la richiesta non soddisfa i requisiti dell'organizzazione perché potrebbe ledere i diritti e la libertà degli altri.

Dopo aver trovato i dati, puoi eseguire l'azione specifica per soddisfare la richiesta dell'interessato.

Dataverse fornisce diversi metodi per cercare dati personali all'interno dei record, ad esempio la Ricerca Avanzata e la Ricerca nei record. Tutte queste funzioni consentono di identificare (trovare) dati personali.

• Ricerca avanzata
• Cerca record tra i diversi tipi di record

L'architettura per la finanza e le operazioni offre diversi modi per ricercare i dati dei clienti. In qualità di amministratore tenant, puoi eseguire le seguenti azioni per cercare i dati dei clienti:

• Organizza i dati dei tuoi clienti in modo da agevolare la rapida individuazione dei dati personali. Vedi come classificare l'inventario dei dati a questo scopo.
• Utilizza il report di ricerca persona per trovare e raccogliere dati personali. Estendi il report di ricerca persona creando una nuova entità o estendendo un'entità esistente.
• Utilizza le funzioni di ricerca e filtro per trovare dati personali specifici ed esportarli tramite la funzionalità Esporta di Microsoft Office, oppure stampa tali informazioni in un PDF tramite le estensioni del browser.
• Crea un modulo personalizzato che individui ed esporti i dati personali.
• Crea un portale o un sito Web esterno che consenta a un cliente autenticato di visualizzare i propri dati personali.

Accesso

Dopo aver individuato i dati dei clienti contenenti dati personali potenzialmente rispondenti a una DSR, spetta a te e alla tua organizzazione decidere quali dati fornire all'interessato. Puoi fornire loro una copia del documento effettivo, una versione opportunamente censurata o uno screenshot delle parti che hai ritenuto opportuno condividere. Per ciascuna di queste risposte a una richiesta di accesso, sarà necessario recuperare una copia del documento o di un altro elemento contenente i dati pertinenti. Quando si fornisce una copia all'interessato, potrebbe essere necessario rimuovere o censurare informazioni personali su altri interessati e qualsiasi informazione riservata.

I dati dei clienti all'interno di Dataverse possono essere esportati utilizzando le funzionalità complete di esportazione delle entità. I dati dei clienti possono essere esportati in un file Excel statico per facilitare una richiesta di portabilità dei dati. Utilizzando Excel, è quindi possibile modificare i dati personali da includere nella richiesta di portabilità e salvarli in un formato comunemente utilizzato e leggibile da una macchina, come .csv o .xml. I record possono anche essere esportati tramite l'API Web Microsoft Dataverse.

I dati dei clienti nell'architettura per la finanza e le operazioni possono essere esportati utilizzando le funzionalità complete di esportazione delle entità. Le entità di gestione e integrazione dei dati consentono all'amministratore del tenant di utilizzare le entità fornite, di crearne di nuove o di estendere quelle esistenti per un'esportazione ripetibile dei dati personali in Excel o in una serie di altri formati comuni tramite Processi di importazione ed esportazione dati. In alternativa, molti elenchi possono essere esportati in un file Excel statico per facilitare la richiesta di portabilità dei dati. Quando i dati dei clienti vengono esportati in Excel, è possibile modificare i dati personali da includere nella richiesta di portabilità e salvare il file in un formato comunemente utilizzato e leggibile dalle macchine, ad esempio .csv o .xml. Potresti anche prendere in considerazione l'utilizzo del Report di ricerca persona per fornire all'interessato i dati che hai classificato come dati personali.

Rettifica

Se un soggetto interessato ha chiesto di rettificare i dati personali che si trovano all'interno dei dati dell'organizzazione, il titolare del trattamento e l'organizzazione devono determinare se è opportuno soddisfare la richiesta. La rettifica dei dati può includere l'esecuzione di azioni, come la modifica, la revisione o la rimozione dei dati personali da un documento o da un elemento di altro tipo.

Dataverse fornisce i seguenti metodi per correggere dati inesatti o incompleti dei clienti o per cancellarli:

• Cerca i dati dei clienti utilizzando le funzionalità menzionate nella sezione "Scopri" e modifica direttamente i dati all'interno di Dataverse. Le modifiche possono essere effettuate a livello di singola riga oppure direttamente su più righe.
• Modificando in blocco più record, puoi utilizzare il componente aggiuntivo Microsoft Office per esportare i dati in Excel, apportare le modifiche e quindi importare i dati modificati da Excel in Dataverse.

Per quanto riguarda l'architettura per la finanza e le operazioni, puoi anche utilizzare strumenti di personalizzazione, ma la decisione e l'implementazione sono di tua responsabilità.

Breve nota sulla modifica delle voci nelle transazioni commerciali

I registri transazionali, come le voci generali, dei clienti e dei registri fiscali, sono essenziali per l'integrità di un sistema ERP (Enterprise Resource Planning). I dati personali che fanno parte di una transazione finanziaria o di altro tipo vengono conservati "così come sono" per conformità alle leggi finanziarie (ad esempio, alle leggi fiscali), per prevenire frodi (ad esempio, controlli di sicurezza) o per conformità alle certificazioni di settore. Pertanto, Dynamics 365 Project Operations limita la modifica dei dati in tali record.

Limita

Gli interessati possono richiedere di limitare l'elaborazione dei dati personali.

Quando si riceve una richiesta da parte di un interessato di limitare il trattamento dei dati dei clienti, è possibile estrarre facilmente i dati dei clienti interessati dal servizio online e archiviarli in un contenitore separato (archiviazione locale o un servizio Web separato con funzionalità di isolamento dei dati) isolato dalle funzioni di elaborazione offerte da qualsiasi applicazione cloud.

Elimina

Il "diritto alla cancellazione" con la rimozione dei dati personali dai dati dei clienti di un'organizzazione è una protezione chiave del GDPR. La rimozione dei dati personali include i log generati dal sistema, ma non delle informazioni del registro di controllo.

Se un soggetto interessato richiede l'eliminazione dei dati cliente, per eseguire questa operazione sono necessari vari passaggi:

• Modificando in blocco più record in Dataverse, puoi utilizzare il componente aggiuntivo Microsoft Office per esportare i dati in Excel, apportare le modifiche e quindi importare nuovamente i dati modificati da Excel nel servizio online.
• Puoi eliminare i dati dei clienti memorizzati in qualsiasi campo individuando i dati che desideri eliminare e quindi eliminare manualmente l'elemento dati contenente i dati del cliente di destinazione. Ad esempio, è possibile utilizzare un'eliminazione definitiva sul record di contatto che rappresenta l'interessato e su altri record che contengono dati personali.

In alternativa, nell'architettura per la finanza e le operazioni, è possibile utilizzare strumenti di personalizzazione per cancellare/modificare i dati dei clienti.

Per eliminare un utente dal tenant, devi essere un amministratore del tenant.

Esportazione

Il "diritto alla portabilità dei dati" consente a un interessato di richiedere una copia dei dati personali in formato elettronico (ovvero un "formato strutturato, di uso comune, leggibile da computer e interoperabile") che può essere trasmesso a un altro titolare del trattamento dei dati.

Per rispondere a una richiesta di portabilità dei dati, i dati dei clienti Dataverse possono essere esportati utilizzando le funzionalità complete di esportazione delle entità. I dati dei clienti possono essere esportati in un file Excel statico per facilitare una richiesta di portabilità dei dati. Utilizzando Excel, è quindi possibile modificare i dati personali da includere nella richiesta di portabilità e salvarli in un formato comunemente utilizzato e leggibile da una macchina, come .csv o .xml.

L'architettura per la finanza e le operazioni offre Entità di gestione e integrazione dei dati che abilita le entità fornite, le entità appena create o estese per un'esportazione ripetibile dei dati personali in Excel o in una serie di altri formati comuni tramite Processi di importazione ed esportazione dati. In alternativa, molti elenchi possono essere esportati in un file Excel statico per facilitare la richiesta di portabilità dei dati. Quando i dati dei clienti vengono esportati in Excel in questo modo, puoi modificare i dati personali da includere nella richiesta di portabilità e salvare il file in un formato comunemente utilizzato e leggibile dalle macchine, come .csv o .xml.

Il Report di ricerca persona può essere utilizzato per fornire all'interessato dati classificati come dati personali.

Per esportare i dati utente dal tenant, devi essere un amministratore del tenant.

Parte 2: registri generati dal sistema

Microsoft ti offre inoltre la possibilità di accedere, esportare ed eliminare i registri generati dal sistema che potrebbero essere considerati personali secondo l'ampia definizione di "dati personali" del GDPR. Esempi di registri generati dal sistema che potrebbero essere considerati personali secondo il GDPR includono:

• Dati di utilizzo di prodotti e servizi, ad esempio i log attività dell'utente
• Dati sulle query e richieste di ricerca dell'utente
• Dati generati da prodotti e servizi come prodotto della funzionalità del sistema e dell'interazione da parte degli utenti o altri sistemi

Esecuzione di DSR sui log generati dal sistema

• Log generati dal sistema per i processi di richiesta dei diritti del soggetto dei dati per Dynamics 365 Project Operations