Requisiti di protezione dei dati per i fornitori Microsoft
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Requisiti di protezione dei dati per i fornitori Microsoft
Applicabilità
I Requisiti di protezione dei dati per i fornitori Microsoft ("DPR") si applicano a ogni fornitore Microsoft che tratta dati
personali o riservati Microsoft nell'ambito delle sue prestazioni, ad esempio fornitura di servizi, licenze software, servizi
cloud, secondo i termini del contratto siglato con Microsoft, ad esempio termini dell'ordine di acquisto, contratto master
("Eseguire", "Esecuzione" o "Prestazioni").
• In caso di conflitto tra i requisiti qui contenuti e i requisiti specificati negli accordi tra il fornitore e Microsoft, il
DPR ha la precedenza a meno che il fornitore applicabile non identifichi nel modulo di attestazione del DPR la
fornitura corretta che entra in conflitto con la sezione del DPR applicabile (in tale caso, i termini del contratto
prevalgono).
• In caso di conflitto tra i requisiti qui contenuti e qualsiasi requisito legale o normativo, questi ultimi avranno la
precedenza.
• Se un fornitore Microsoft opera come titolare del trattamento, relativamente a questo DPR, si applicano solo i
requisiti nella Sezione J Sicurezza e nella Sezione A Gestione per quanto riguarda le attività di trattamento dei
dati del fornitore come titolare del trattamento.
• Nel caso in cui il fornitore Microsoft operi come subresponsabile, ad esempio per i servizi di consulenza Microsoft,
nell'ambito del DPR, si applicano solo i requisiti della Sezione A Gestione, Sezione E Conservazione, Sezione F
Soggetti interessati, Sezione G Divulgazione a terzi, Sezione H Qualità, Sezione I Monitoraggio e applicazione delle
norme e Sezione J Sicurezza per quanto riguarda le attività di trattamento dei dati del fornitore.
• Se il fornitore di Microsoft non tratta i dati personali, ma solo i dati riservati di Microsoft, relativamente a questo
DPR, si applicano solo i requisiti nella Sezione A Gestione, Sezione E Conservazione e Sezione J Sicurezza riguardo
al trattamento dei dati riservati di Microsoft.
Trasferimento internazionale di dati
Senza limitare i suoi altri obblighi, il fornitore non effettuerà alcun trasferimento internazionale di dati personali di
Microsoft, salvo previa approvazione scritta da parte di Microsoft e, in ogni caso, il fornitore dovrà rispettare i Requisiti
di protezione dei dati, incluse le Clausole contrattuali standard o, a discrezione di Microsoft, altri meccanismi di
trasferimento transfrontaliero applicabili approvati da un'autorità di protezione dei dati idonea o dalla Commissione
europea, a seconda dei casi, e adottati o concordati da Microsoft, che includono, ma non si limitano a, per i trasferimenti
dalla Svizzera, allo Scudo Svizzera-USA, a seconda del caso. Le Clausole contrattuali standard successive adottate dalla
Commissione europea o dal Garante europeo della protezione dei dati e approvate dalla Commissione europea saranno
incorporate e vincolanti per il fornitore a partire dal giorno della loro adozione. Il fornitore dovrà inoltre garantire che
anche tutti i subincaricati (definiti nelle Clausole contrattuali standard) rispettino i requisiti di conformità. Il fornitore
dovrà inoltre assicurarsi che qualsivoglia subresponsabile adempierà agli stessi requisiti (come definito nel documento
Clausole contrattuali standard).
Definizioni chiave
I seguenti termini usati in questo DPR avranno i seguenti significati. Gli esempi che seguono i termini "inclusi", "quali",
"ad esempio" o simili utilizzati all'interno di questo DPR vanno interpretati includendo "senza limitazione" o "ma non in
via esclusiva", salvo diversamente specificato da termini quali "solo" o "esclusivamente".
Per "Titolare del trattamento" si intende la persona fisica o giuridica, l'autorità pubblica, l'agenzia o qualsiasi altra entità
che da sola o insieme ad altri determina gli scopi e i mezzi del trattamento dei dati personali; laddove gli scopi e i mezzi
del trattamento sono determinati dall'Unione europea ("EU") o dalla legislazione degli Stati membri, il titolare del
trattamento (o i criteri per la nomina del titolare del trattamento) può essere designato da tale legislazione.
Versione 7 Novembre 2020 Pagina | 1
Riservato MicrosoftPer "Violazione dei dati" si intende (1) una violazione della sicurezza che porta alla distruzione, perdita, alterazione accidentale o illegale, alla divulgazione non autorizzata o all'accesso a dati personali di Microsoft o dati riservati di Microsoft trasmessi, archiviati o altrimenti elaborati dal fornitore o dai suoi subappaltatori, o (2) una vulnerabilità della sicurezza relativa alla gestione dei dati personali di Microsoft o dei dati riservati di Microsoft da parte del fornitore. Per "Soggetto interessato" si intende una persona fisica che può essere identificata direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati sull'ubicazione, un identificatore online o uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica. Per "Diritto del soggetto interessato" si intende il diritto di un soggetto di accedere ai propri dati personali di Microsoft, eliminarli, modificarli, esportarli, limitarne il trattamento o opporsi a esso se richiesto dalla legge. Per "Legge" si intendono tutte le leggi, i regolamenti, gli statuti, i decreti, le decisioni, gli ordini, le decisioni, i codici, gli atti legislativi, le risoluzioni e i requisiti di qualsiasi autorità governativa (federale, statale, locale o internazionale) avente giurisdizione. Per "illecito" si intende qualsiasi violazione della legge. Per "Dati riservati di Microsoft" si intendono tutte le informazioni che, se divulgate o danneggiate, possono comportare significativi danni economici o di immagine per Microsoft. Ciò comprende i prodotti hardware e software di Microsoft, le applicazioni line-of-business interne, i materiali di marketing divulgati prima del rilascio dei prodotti, i codici di licenza e la documentazione tecnica di prodotti e servizi Microsoft. Per "Dati personali di Microsoft" si intendono tutte le informazioni personali elaborate da o per conto di Microsoft. Per "Dati personali" si intende qualsiasi informazione relativa a un soggetto interessato e qualunque altra informazione che costituisca "dati personali" o "informazioni personali" ai sensi della legge. Per "Trattamento" si intende qualsiasi operazione o insieme di operazioni compiute sui dati personali o riservati di Microsoft con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione. "Trattamento" e "trattato" avranno significati corrispondenti. Per "Responsabile del trattamento" si intende la persona fisica o giuridica, l'autorità pubblica, l'agenzia o qualsiasi altra entità che tratta i dati personali per conto del titolare del trattamento. Per "Subappaltatore" si intende un soggetto terzo a cui il fornitore delega i propri obblighi in relazione al contratto che regola le sue prestazioni, come ad esempio una società affiliata del fornitore che non stipula contratti direttamente con Microsoft. Per "Subresponsabile" si intende una terza parte assunta da Microsoft per determinate attività, quali il trattamento dei dati personali di Microsoft per i quali Microsoft è responsabile del trattamento. Per "Clausole contrattuali standard" si intendono (i) le clausole standard di tutela dei dati per il trasferimento di dati personali a responsabili del trattamento designati in Paesi terzi che non garantiscono un livello adeguato di protezione dei dati, come descritto nell'articolo 46 del GDPR e approvato dalla decisione della Commissione europea 2010/87/CE del 5 febbraio 2010; (ii) eventuali clausole successive adottate dalla Commissione europea ai sensi del GDPR; (iii) eventuali clausole successive adottate dal Garante europeo della protezione dei dati e approvate ai sensi dell'EUDPR e (iv) eventuali clausole altrimenti autorizzate dal Garante europeo della protezione dei dati per i trasferimenti di dati a entità Microsoft ai sensi dell'EUDPR. Versione 7 Novembre 2020 Pagina | 2 Riservato Microsoft
Per "Requisiti per la protezione della privacy dei dati" si intendono il GDPR, l'EUDPR, le leggi locali sulla protezione dei
dati dell'UE/SEE, il California Consumer Privacy Act, cod. civ. Cal. § 1798.100 et seq. ("CCPA"), il Data Protection Act 2018
del Regno Unito e qualsiasi legge, regolamento e altro requisito legale correlato o conseguente applicabile nel Regno
Unito, e qualsiasi legge, regolamento e altro requisito legale applicabile relativo a (a) privacy e sicurezza dei dati; o (b)
all'uso, alla raccolta, alla conservazione, all'archiviazione, alla protezione, alla divulgazione, al trasferimento,
all'eliminazione e ad altre forme di trattamento dei Dati personali.
Per "EUDPR" si intende il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio del 23 ottobre 2018 sulla
protezione delle persone fisiche, che regola il trattamento dei dati personali da parte delle istituzioni, degli organi, degli
uffici e delle agenzie dell'Unione e la libera circolazione di tali dati e abroga il regolamento (CE) n. 45/2001 e la decisione
n. 1247/2002/CE.
Per "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla
protezione delle persone fisiche, che regola il trattamento dei dati personali e la libera circolazione di tali dati, che
abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
Per "Clausole modello tipo UE" e "Clausole contrattuali standard" si intendono le clausole contrattuali standard per il
trasferimento di dati personali a un responsabile del trattamento designato in un Paese terzo come stabilito nell'allegato
della decisione della Commissione europea 2010/87/UE del 5 febbraio 2010, nell'Allegato A Clausole contrattuali
standard e in qualsiasi clausola contrattuale standard successiva.
Per "Clausole contrattuali standard successive" si intende qualsiasi clausola adottata dalla Commissione Europea ai
sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, sulla protezione delle
persone fisiche che regola il trattamento dei dati personali e la libera circolazione di tali dati e abroga la direttiva
95/46/CE (Regolamento generale sulla protezione dei dati) e le clausole adottate dal Garante europeo della protezione
dei dati e approvate dalla Commissione europea o altrimenti autorizzate dal Garante europeo della protezione dei dati
per i trasferimenti di dati a entità Microsoft ai sensi del Regolamento (UE) 2018/1725 del Parlamento europeo e del
Consiglio del 23 ottobre 2018, che regola protezione delle persone fisiche che regola il trattamento dei dati personali da
parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione e la libera circolazione di tali dati e che abroga
il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE.
Risposta del fornitore
I fornitori confermano annualmente la propria conformità a tali requisiti tramite un servizio online amministrato da
Microsoft. Consultare la Guida del programma SSPA per comprendere l'amministrazione della conformità.
Versione 7 Novembre 2020 Pagina | 3
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione A: Gestione
1 Ogni contratto applicabile fra Microsoft e il fornitore, Il fornitore deve presentare il contratto applicabile fra
ad esempio contratto master, commessa, ordini di Microsoft e il fornitore.
acquisto e altri ordini, contiene le indicazioni in materia
di privacy e protezione dei dati rispettivamente ai dati Per i responsabili del trattamento e i subresponsabili, le
personali e riservati di Microsoft, come applicabile, descrizioni del trattamento sono contenute nel
inclusi i divieti relativi alla vendita dei dati personali di contratto applicabile, ad esempio commessa, ordini di
Microsoft e al trattamento dei dati personali di lavoro.
Microsoft all'esterno del diretto rapporto commerciale Nota: le aziende che hanno ordini di acquisto in corso
fra Microsoft e il fornitore. troveranno la descrizione delle attività di trattamento
aggiunta successivamente nel corso del processo di
Per le aziende che operano come responsabili del acquisto.
trattamento o subresponsabili in relazione alle
prestazioni, relativamente ai dati personali di
Microsoft, il contratto deve includere l'oggetto e la
durata del trattamento, la natura e lo scopo del
trattamento, il tipo di dati personali Microsoft e le
categorie di soggetti di dati, nonché gli obblighi e i
diritti di Microsoft.
2 Assegnare la responsabilità del rispetto del DPR a una Indicare il ruolo della persona o del gruppo incaricato di
persona o a un team specifico della propria azienda. garantire la conformità del DPR del fornitore Microsoft.
Un documento che descrive l'autorità e le
responsabilità di questa persona o gruppo attestante
un ruolo legato alla privacy e/o alla sicurezza.
3 Stabilire, mantenere ed eseguire il training annuale I certificati di partecipazione sono disponibili e devono
sulla privacy e sulla sicurezza per i dipendenti che essere forniti a Microsoft su richiesta.
avranno accesso ai dati personali trattati dal fornitore
in relazione alle prestazioni o ai dati riservati di I contenuti della formazione includono principi di
Microsoft. privacy e sicurezza.
Se l'azienda non ha preparato alcun documento, usare La documentazione di conformità con i requisiti di
questo profilo della storyboard e adattarlo alla propria formazione includerà le prove di formazione legate ai
azienda. requisiti normativi sulla privacy, gli obblighi di sicurezza
e la conformità a requisiti e obblighi di contratto
Nota: al personale di supporto potrebbe essere chiesto applicabili.
di completare corsi di formazione aggiuntivi forniti dalle
divisioni Microsoft.
Versione 7 Novembre 2020 Pagina | 4
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione A: Gestione (segue)
4 Trattare i dati personali di Microsoft soltanto su Il fornitore compila e conserva tutte le istruzioni
istruzione documentata di Microsoft, anche in caso di documentate di Microsoft, ad esempio contratto,
trasferimento di dati personali verso un Paese terzo o commessa o documentazione di ordine, in versione
un'organizzazione internazionale, salvo che lo richieda elettronica e in un luogo facilmente accessibile ai
la legge applicabile; in tal caso, il responsabile del dipendenti e agli appaltatori del fornitore che
trattamento o i subtitolare (fornitore) informa il titolare partecipano alle prestazioni.
del trattamento circa tale obbligo giuridico prima del
trattamento stesso, a meno che il diritto vieti tale
informazione per rilevanti motivi di interesse pubblico.
Sezione B: Avviso
5 Nel raccogliere i dati personali per conto di Microsoft, il Il fornitore utilizza un collegamento all'informativa sulla
fornitore deve fare riferimento all'informativa sulla privacy Microsoft attuale pubblicata.
privacy di Microsoft.
L'informativa sulla privacy è pubblicata in qualsiasi
Le comunicazioni sulla privacy devono essere chiare e contesto in cui saranno raccolti i dati personali degli
disponibili al fine di consentire agli interessati utenti.
di decidere se inviare i propri dati personali al fornitore.
Se presente, viene messa a disposizione una versione
offline fornita prima della raccolta dei dati.
Nota: quando l'azienda è il titolare del trattamento,
Le informative sulla privacy offline utilizzate sono le
pubblicherà la propria informativa sulla privacy.
ultime versioni pubblicate, debitamente datate.
Per i servizi ai dipendenti Microsoft, viene utilizzata la
comunicazione sulla privacy dei dati di Microsoft.
6 I fornitori che raccolgono dati personali di Microsoft nel Uno script per le registrazioni vocali include le modalità
corso di telefonate registrate o conversazioni dal vivo di elaborazione dei dati personali di Microsoft e di
devono essere preparati a esporre ai soggetti ▪ raccolta,
interessati le prassi di raccolta, gestione, uso e ▪ utilizzo e
conservazione dei dati applicabili. ▪ conservazione
Versione 7 Novembre 2020 Pagina | 5
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione C: Scelta e consenso
7 Qualora il fornitore si serva del consenso come base Il fornitore può dimostrare in che modo un soggetto
giuridica per il trattamento dei dati, deve ottenere e fornisce l'autorizzazione a un'attività di trattamento e
registrare il consenso della persona interessata per che l'autorizzazione riguarda tutte le attività di
tutte le proprie attività di trattamento (inclusa qualsiasi trattamento del fornitore rispetto ai dati personali di
attività di trattamento nuova e aggiornata) prima di quel soggetto.
raccoglierne i dati personali.
Il fornitore può dimostrare in che modo un soggetto
può ritirare la propria autorizzazione all'attività di
trattamento.
Il fornitore può dimostrare in che modo vengono
espresse le preferenze prima dell'avvio di una nuova
attività di trattamento.
Il fornitore monitora l'efficacia della gestione delle
preferenze per garantire che vengano rispettate le
tempistiche necessarie per recepire la modifica di una
preferenza secondo la normativa locale più rigida
vigente.
Nota: esempi di prove sono gli screenshot delle
interazioni con l'utente, la sperimentazione del servizio
o l'opportunità di visualizzare la documentazione
tecnica.
8 I cookie sono piccoli file di testo memorizzati sui Lo scopo di ogni cookie deve essere documentato e
dispositivi da siti Web e/o applicazioni che contengono l'utente deve essere informato sul tipo di cookie
le informazioni usate per riconoscere un soggetto implementato.
interessato o un dispositivo. ▪ Quando i cookie di sessione sono sufficienti, non
devono essere usati cookie persistenti.
I fornitori che creano e gestiscono siti Web e/o applicazioni ▪ Quando vengono usati cookie persistenti, la loro
Microsoft devono inviare ai soggetti interessati un avviso di data di scadenza non deve superare i 2 anni da
trasparenza e consentir loro di poter scegliere se usare i quando l'utente ha visitato il sito.
cookie. Salvo disposizioni espressamente contrarie da parte
della business unit che si occupa del contratto, i fornitori Confermare la conformità alle leggi UE come richiesto,
dovranno usare lo Standard Banner prodotto da 1ES per ad esempio tramite
gestire i controlli di scelta. ▪ l'uso delle convenzioni di etichettatura, "Privacy e
cookie" per l'informativa sulla privacy,
I fornitori che creano e gestiscono siti Web e/o ▪ garanzia del consenso dell'utente prima dell'uso di
applicazioni Microsoft devono garantire che l'uso dei cookie per scopi "non essenziali" come la pubblicità e
cookie sia in linea con quanto dichiarato ▪ scadenza o nuovo ottenimento del consenso in
nell'informativa sulla privacy di Microsoft e con i periodi non superiori a 6 mesi.
requisiti legali come le norme stabilite dall'UE.
Nota: gli sponsor aziendali Microsoft devono registrare
i siti Web Microsoft nel portale di Conformità Web
interno (http://aka.ms/wcp) per catalogare e gestire
l'inventario dei cookie.
Versione 7 Novembre 2020 Pagina | 6
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione D: Raccolta
9 Il fornitore deve monitorare la raccolta di dati personali Il fornitore può presentare una documentazione che
e/o riservati di Microsoft al fine di garantire che siano attesta che i dati personali e/o riservati di Microsoft
raccolti solo i dati necessari a erogare il servizio raccolti sono necessari ai fini del servizio.
richiesto da Microsoft.
Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
10 Qualora si procuri dati personali da terze parti per Il fornitore può dimostrare di operare in modo diligente
conto di Microsoft, il fornitore deve verificare che le relativamente alle politiche e alle prassi di protezione
politiche e le prassi sulla protezione dei dati applicate dei dati di terze parti.
dalla terza parte siano compatibili con il proprio
contratto con Microsoft e con del DPR. Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
11 Prima di raccogliere dati personali di Microsoft Il consenso di Microsoft a usare software eseguibile sul
mediante l'installazione o l'impiego di un software dispositivo del soggetto interessato è riportato nel
eseguibile sul dispositivo del soggetto interessato, la contratto in vigore.
necessità di disporre di tali informazioni dovrà essere
documentata in un contratto per fornitore in vigore con
Microsoft.
12 Prima di raccogliere dati personali di Microsoft sensibili La necessità di raccogliere i dati personali di Microsoft
(dati che rivelano l'origine razziale o etnica, le opinioni sensibili è riportata nel contratto in vigore con
politiche, le credenze religiose o le idee filosofiche, o Microsoft.
l'appartenenza a sindacati, dati genetici, dati biometrici,
dati relativi alla salute o dati riguardanti la vita sessuale
o l'orientamento sessuale di una persona fisica) è
necessario documentare la necessità di raccogliere
questi dati in un contratto per il fornitore in vigore con
Microsoft.
Versione 7 Novembre 2020 Pagina | 7
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione E: Conservazione
13 Garantire che le informazioni personali e riservate di Il fornitore rispetta le politiche di conservazione
Microsoft siano conservate solo per il tempo documentate o i requisiti di conservazione specificati
strettamente necessario alle prestazioni fornite, a da Microsoft nel contratto (ad es. nella commessa o
meno che il loro mantenimento continuativo sia nell'ordine di acquisto).
richiesto dalla legge.
Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
14 Garantire che, al termine del servizio o su richiesta di Conservare i dati sulla cessione dei dati personali e
Microsoft, i dati personali e riservati di Microsoft in riservati di Microsoft (per esempio restituzione a
possesso o sotto il controllo del fornitore siano distrutti Microsoft per distruzione).
o restituiti a Microsoft (a esclusiva discrezione di
questa). Se la distruzione è necessaria o richiesta da Microsoft,
fornire un certificato di distruzione firmato da un
All'interno delle applicazioni, devono essere in atto rappresentante del fornitore.
procedure per garantire che al momento della
rimozione dei dati dall'applicazione, eseguita in modo
esplicito dagli utenti o sulla base di altri fattori quali il
periodo di conservazione dei dati, questi vengano
eliminati in modo sicuro.
Qualora dovesse risultare necessario distruggere i dati
personali e riservati di Microsoft, il fornitore deve
bruciare, polverizzare o sminuzzare i supporti fisici
contenenti i dati personali e/o confidenziali Microsoft
in modo tale che questi non possano essere più letti o
ricostruiti.
Versione 7 Novembre 2020 Pagina | 8
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione F: Soggetti interessati
I soggetti interessati hanno alcuni diritti previsti dalla
legge, incluso il diritto di accedere, eliminare,
modificare, esportare, limitare e opporsi al trattamento
dei dati personali ("Diritti dei soggetti interessati").
Quando un soggetto interessato si propone di
esercitare i propri diritti secondo la legge applicabile
relativa ai dati personali di Microsoft, il fornitore deve:
15 Collaborare con Microsoft, tramite misure tecniche e Il fornitore conserverà prove scritte di processi e
organizzative adeguate, per quanto possibile e con la procedure a supporto dell'esecuzione dei diritti dei
massima tempestività, affinché possa rispettare il soggetti interessati.
proprio obbligo di rispondere alle richieste dei soggetti
interessati che desiderano esercitare i loro diritti. Il fornitore conserverà prove scritte dei test. Tali prove
scritte dovranno essere fornite a Microsoft se richiesto.
A meno che Microsoft non abbia dato istruzioni diverse,
il fornitore farà riferimento a tutti i soggetti interessati
che contattano il fornitore direttamente al fine di
consentire a Microsoft di far rispettare i diritti del
soggetto interessato.
16 Quando si risponde direttamente al soggetto Il fornitore ha documentato il metodo usato per
interessato o quando il fornitore dispone di un identificare i soggetti interessati Microsoft.
meccanismo self-service online, il fornitore dispone di
processi e procedure per identificare il soggetto Il fornitore consegnerà prove scritte a Microsoft
interessato che effettua la richiesta. quando richiesto.
17 Se viene richiesto da Microsoft di individuare i dati Il fornitore conserverà prova documentaria delle
personali di Microsoft su un soggetto interessato non procedure in essere per stabilire se sono presenti dati
disponibili tramite un meccanismo self-service online, il personali di Microsoft e fornirà tale documentazione a
fornitore effettuerà ogni sforzo ragionevole per Microsoft su richiesta.
individuare i dati richiesti e conservare record
sufficienti a dimostrare l'avvenuta ricerca. Il fornitore conserva un record per dimostrare la
procedura seguita per soddisfare le richieste relative ai
diritti del soggetto interessato.
La documentazione include,
▪ data e ora della richiesta,
▪ azioni intraprese per rispondere alla richiesta e
record di quando Microsoft è stata informata.
Il fornitore consegnerà prove scritte dei record a
Microsoft quando richiesto.
Versione 7 Novembre 2020 Pagina | 9
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione F: Soggetti interessati (segue)
18 Il fornitore comunicherà al soggetto interessato le Il fornitore conserverà prove documentate delle
operazioni da effettuare per ottenere accesso o comunicazioni e procedure per accedere ai dati
altrimenti esercitare i propri diritti rispetto ai dati personali di Microsoft. Il fornitore conserverà prove
personali di Microsoft. documentate e le consegnerà a Microsoft quando
richiesto.
19 Registrare la data e l'ora delle richieste relative ai diritti Il fornitore deve conservare i record delle richieste di
del soggetto interessato, nonché le misure intraprese in accesso e documentare le modifiche apportate ai dati
risposta a tale richiesta. personali Microsoft.
In caso di diniego della richiesta da parte della direzione Documentare le istanze in cui le richieste vengono
di Microsoft, fornire al soggetto interessato una rifiutate e conservare le prove di revisione e
spiegazione in forma scritta. approvazione di Microsoft.
Fornire a Microsoft, su richiesta di questa, i record del Il fornitore consegnerà prove scritte dei record di
soggetto interessato. richieste e accessi negati ai dati personali di Microsoft.
20 Il fornitore dovrà permettere a Microsoft di ottenere Il fornitore deve fornire al soggetto interessato i dati
oppure ottenere da sé una copia dei dati personali di personali Microsoft in un formato comprensibile e in
Microsoft richiesti, da fornire al soggetto interessato e una forma comoda per il soggetto interessato e per il
autenticato in un formato appropriato cartaceo, fornitore.
elettronico o tramite comunicazione verbale.
21 Il fornitore deve adottare ogni ragionevole precauzione Il fornitore conserverà prove scritte relative alle
per garantire che i dati personali di Microsoft rilasciati a procedure e precauzioni per evitare l'identificazione del
Microsoft o a un soggetto interessato autenticato non soggetto interessato contrarie ai termini del contratto.
possano essere utilizzati per identificare un'altra Il fornitore consegnerà prove a Microsoft quando
persona. richiesto.
22 In caso il soggetto interessato contesti la completezza e Il fornitore deve documentare le istanze di disaccordo e
l'accuratezza dei dati personali di Microsoft, il fornitore inoltrare il problema a Microsoft.
deve demandare la questione a Microsoft e cooperare
con questa nella misura necessaria per risolverla. Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
Versione 7 Novembre 2020 Pagina | 10
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione G: Divulgazione a terzi
Qualora intenda servirsi di un subappaltatore che lo
coadiuvi nel trattamento dei dati personali e riservati di
Microsoft, il fornitore deve:
23 Ottenere l'espresso consenso scritto di Microsoft prima Confermare che i dati personali di Microsoft sono
di subappaltare i servizi o apportare modifiche trattati solo da aziende note a Microsoft, come previsto
riguardanti l'aggiunta o la sostituzione dei da contratto applicabile (ad es. commessa, addendum,
subappaltatori. ordine d'acquisto) o conservato nel database di SSPA.
Nota: indicare l'accettazione di questo obbligo anche se
al momento non si lavora con subappaltatori, ma
potrebbe succedere in futuro.
24 Documentare la natura e l'entità dei dati personali e Il fornitore deve mantenere la documentazione relativa
riservati di Microsoft trattati dai subappaltatori, ali dati personali e riservati di Microsoft divulgati o
assicurando che le informazioni raccolte sono trasferiti ai subappaltatori.
necessarie per l'erogazione dei servizi. Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
25 Laddove Microsoft è titolare del trattamento dei dati Dimostrare in che modo una preferenza del soggetto
personali Microsoft, è necessario accertarsi che il interessato viene usata dai subappaltatori.
subappaltatore usi i dati personali di Microsoft Fornire documentazione di supporto (ad esempio
conformemente al metodo di contatto preferito screenshot, SLA, SOW e così via) che include il periodo
indicato dal soggetto interessato. di tempo entro il quale il subappaltatore deve recepire
la modifica di una preferenza.
26 Limitare il trattamento dei dati personali di Microsoft Il fornitore può presentare una documentazione che
da parte del subappaltatore agli scopi necessari ad attesta che i dati personali di Microsoft forniti a un
adempiere al contratto del fornitore con Microsoft. subappaltatore sono necessari ai fini del servizio.
Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
Versione 7 Novembre 2020 Pagina | 11
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione G: Divulgazione a terzi (segue)
27 Esaminare i reclami in merito al trattamento non Il fornitore può dimostrare che sono in atto sistemi e
autorizzato o illegale dei dati personali di Microsoft. procedure per indirizzare i reclami relativi all'uso o alla
divulgazione non autorizzati dei dati personali
Microsoft da parte di un subappaltatore.
Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
28 Informare tempestivamente Microsoft qualora si venga Il fornitore ha messo a disposizione le istruzioni e i
a sapere che un subappaltatore ha trattato i dati mezzi necessari affinché il subappaltatore possa
personali e riservati di Microsoft per qualsiasi scopo riportare usi impropri dei dati di Microsoft.
differente da quelli relativi all'erogazione dei servizi.
Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
29 Intervenire prontamente per mitigare i danni potenziali Il fornitore deve conservare prove scritte dei piani e
o effettivi derivanti dal trattamento non autorizzato o delle procedure e fornire tali prove a Microsoft su
illegale dei dati personali e riservati di Microsoft da richiesta.
parte del subappaltatore.
Sezione H: Qualità
30 Il fornitore deve mantenere l'integrità di tutti i dati Il fornitore può dimostrare che sono in atto procedure
personali di Microsoft, garantendo che siano accurati, per confermare i dati personali di Microsoft quando
completi e rilevanti al fine dichiarato per il quale sono vengono raccolti, creati e aggiornati.
stati trattati.
Il fornitore può dimostrare che sono in atto procedure
di monitoraggio e campionamento per verificare
l'accuratezza su base costante e apportare correzioni,
laddove necessario.
Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
Versione 7 Novembre 2020 Pagina | 12
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione I: Monitoraggio e applicazione
31 Il fornitore ha un piano di risposta all'incidente che gli Il fornitore ha un piano di risposta all'incidente che
richiede di informare Microsoft in modo puntuale non include una fase di notifica ai clienti (Microsoft) come
appena venga a conoscenza di una violazione dai dati. descritto in questa sezione.
Su richiesta o indicazione di Microsoft il fornitore deve Il fornitore consegnerà prove scritte a Microsoft
collaborare con Microsoft in qualsiasi indagine, disputa quando richiesto.
o risoluzione dell'incidente, inclusa la fornitura a
Microsoft di dati, informazioni, accesso al personale del
fornitore o l'hardware necessario per condurre
un'indagine forense.
32 Non rilasciare comunicati stampa o altre dichiarazioni Il fornitore acconsente a soddisfare questo requisito
pubbliche in merito a una violazione di dati. qualora si verifichi tale circostanza.
33 Implementare un piano correttivo e monitorare le Il fornitore ha a disposizione procedure documentate
soluzioni per ciascuna violazione di dati per assicurarsi da adottare per rispondere a una violazione dei dati.
che vengano intraprese azioni correttive appropriate
con tempistiche adeguate. Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
34 Laddove Microsoft è titolare del trattamento dei dati Il fornitore ha i mezzi per ricevere reclami riguardanti i
personali di Microsoft, stabilire una procedura formale dati personali di Microsoft e ha a disposizione una
per rispondere a tutti i reclami in merito a protezione procedura documentata per rispondere ai reclami.
dei dati di cui siano oggetto i dati personali di
Microsoft. Il fornitore consegnerà prove scritte a Microsoft
quando richiesto.
Versione 7 Novembre 2020 Pagina | 13
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza
Il fornitore deve stabilire, implementare e mantenere Un rapporto ISO 27001 o SOC 2 valido è un sostituto
un programma di sicurezza dei dati che includa le accettabile della Sezione J. Contattare SSPA per
politiche e le procedure, al fine di proteggere e applicare tale sostituzione.
mantenere sicuri i dati personali e riservati di
Microsoft, conformemente alle pratiche consigliate di Nota: occorre fornire la documentazione che descrive la
settore e in base a quanto previsto dalla legge. portata di tali certificazioni/rapporti.
Il programma di sicurezza del fornitore deve soddisfare
gli standard elencati di seguito, ovvero i requisiti da 35
a 53.
35 Eseguire valutazioni annuali sulla sicurezza di rete che Il fornitore ha documentato valutazioni di rete, registri
includono: delle modifiche e risultati delle analisi.
▪ la revisione delle principali modifiche all'ambiente,
ad esempio un nuovo componente di sistema, una I log delle modifiche richiesti devono riportare le
topologia di rete, una regola firewall; modifiche, fornire informazioni sul motivo delle
▪ le analisi delle vulnerabilità; e modifiche e includere nome e titolo della persona
▪ la conservazione dei registri delle modifiche. incaricata dell'approvazione.
36 Il fornitore deve definire, comunicare e implementare Il fornitore dimostra l'uso di una politica sui dispositivi
una politica per i dispositivi mobili che protegga e limiti mobili conformi qualora l'elaborazione dei dati
l'uso dei dati personali e riservati di Microsoft a cui si ha personali e riservati di Microsoft richiedano l'uso di un
accesso o che sono usati su un dispositivo mobile. dispositivo mobile.
37 Tutte le risorse usate per supportare l'erogazione dei Inventario delle risorse relative ai dispositivi usate per
servizi devono essere giustificate e avere un supportare le prestazioni. L'inventario di tali risorse
proprietario identificato. Il fornitore è responsabile del deve includere:
mantenimento di un inventario di tali risorse di ▪ la posizione del dispositivo;
informazioni, della definizione di un uso accettabile e ▪ la classificazione dei dati nelle risorse;
autorizzato delle risorse e del mantenimento di un ▪ un record per il recupero delle risorse in caso di
adeguato livello di protezione per le risorse durante risoluzione del contratto di impiego o del contratto
tutto il ciclo di vita. commerciale; e
▪ un record per lo smaltimento dei supporti di
archiviazione dei dati quando non più necessari.
Versione 7 Novembre 2020 Pagina | 14
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
38 Stabilire e mantenere le procedure di gestione dei Il fornitore dimostra di aver implementato un piano di
diritti di accesso per evitare l'accesso non autorizzato ai gestione dei diritti di accesso che include:
dati personali e riservati di Microsoft controllati dai ▪ procedure di controllo d'accesso;
fornitori. ▪ procedure di identificazione;
▪ procedure di blocco in seguito a tentativi falliti;
▪ parametri affidabili per la selezione delle
credenziali di autenticazione; e
▪ disattivazione degli account utente entro 48 ore
dalla terminazione del rapporto di lavoro e controlli
delle password, incluso quanto segue:
o 1) reimpostazione della password con la
frequenza necessaria ma non superiore ai
70 giorni
o o 2) quando si abilita l'accesso biometrico
(solo per account utente senza privilegi):
cambio della password ogni 365 giorni,
forzare automaticamente gli utenti
(amministratori inclusi) a cambiare le
password dell'account utente alla scadenza,
assicurare che siano configurati controlli
anti-spoofing.
Il fornitore dimostra di aver stabilito un processo per
controllare l'accesso dell'utente ai dati personali e
riservati di Microsoft, applicando il principio dei
privilegi minimi. Il processo include:
▪ ruoli utente ben definiti;
▪ procedure per esaminare e giustificare
l'approvazione di accesso ai ruoli; e
▪ la prova che gli utenti all'interno dei ruoli con
accesso ai dati di Microsoft dispongano di una
giustificazione documentata per la loro presenza
nel gruppo/ruolo.
Versione 7 Novembre 2020 Pagina | 15
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
39 La definizione e l'introduzione di procedure di gestione Il fornitore può dimostrare di avere implementato una
delle patch che privilegiano le patch di sicurezza per i procedura di gestione delle patch che soddisfa questo
sistemi usati nel trattamento dei dati personali e requisito e copre almeno i seguenti aspetti.
riservati di Microsoft. Tali procedure includono: ▪ Assegnazione della gravità per indicare le priorità.
▪ un approccio al rischio definito che privilegia le (Le definizioni di gravità sono documentate.)
patch di sicurezza; ▪ Procedura documentata per implementare le patch
▪ la capacità di gestire e implementare le patch di di emergenza.
emergenza; ▪ Confermare che non siano in uso sistemi operativi
▪ l'applicabilità al sistema operativo e al software del non più supportati dall'azienda produttrice.
server ad esempio il server applicazioni e il ▪ Record di gestione delle patch che tengono traccia
software del database; delle approvazioni e delle eccezioni.
▪ la documentazione relativa al rischio mitigato dalle
patch e le tracce di eventuali eccezioni; e
▪ i requisiti per il ritiro del software non più
supportato dall'azienda produttrice.
40 Installare software anti-virus e anti-malware sugli Sono disponibili record che attestano che l'uso di
apparecchi collegati alla rete usata per trattare i dati software anti-virus e anti-malware è attivo.
personali e riservati di Microsoft, che comprendono i
server, i desktop di produzione e formazione che Nota: questo requisito si applica a tutti i sistemi
proteggono da virus potenzialmente dannosi ed operativi.
applicazioni software nocivi.
Aggiornare le definizioni anti-malware ogni giorno o in
base alle indicazioni del fornitore del software anti-
virus/anti-malware.
Nota: si applica a tutti i sistemi operativi incluso Linux.
41 I fornitori che sviluppano software per Microsoft I documenti delle specifiche tecniche del fornitore
devono includere principi di security-by-design nel includono nei loro cicli di sviluppo punti di controllo
processo di generazione. della convalida di sicurezza.
Versione 7 Novembre 2020 Pagina | 16
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
42 Mettere in atto un programma di Data Loss Prevention Programma DLP documentato implementato con
("DLP") per prevenire intrusioni, perdite o attività non procedure per prevenire intrusioni, perdite o altre
autorizzate. I dati devono essere classificati, etichettati e attività non autorizzate e, almeno, tutti gli elementi
protetti adeguatamente e il fornitore deve monitorare i specificati in questa sezione.
sistemi di informazioni in uso dove vengono trattati i dati
personali e riservati di Microsoft per evitare le intrusioni,
le perdite e altre attività non autorizzate. Il programma
DLP, come minimo,
▪ richiede l'uso di sistemi di rilevamento delle
intrusioni ("IDS") in host standard di settore, in rete
e cloud-based se si conservano dati personali o
riservati di Microsoft,
▪ richiede l'implementazione di sistemi di protezione
delle intrusioni ("IPS") avanzati configurati per
monitorare e interrompere attivamente la perdita
di dati,
▪ nel caso in cui un sistema venga violato, richiede
l'analisi del sistema per assicurarsi di risolvere
eventuali vulnerabilità residue,
▪ documenta le procedure per il monitoraggio degli
strumenti di rilevamento di un sistema compromesso,
▪ stabilisce un processo di risposta e gestione degli
incidenti da eseguire quando si rileva un evento di
violazione dei dati e
▪ richiede comunicazioni (a tutti i dipendenti del
fornitore e ai subappaltatori che non svolgono più
le prestazioni del fornitore) relativamente al
download e all'utilizzo non autorizzati dei dati
personali o riservati di Microsoft.
43 Comunicare tempestivamente i risultati delle indagini Devono essere in atto sistemi e procedure per
della risposta all'incidente ai reparti di gestione senior e comunicare i risultati dell'investigazione della risposta
a Microsoft. all'incidente a Microsoft.
44 Gli amministratori di sistema, il personale operativo, il Stabilire un programma di formazione sulla sicurezza
management e le terze parti devono seguire ogni anno che includa:
un corso di formazione sulla sicurezza. ▪ formazione annuale per la risposta agli incidenti; e
▪ eventi simulati e meccanismi automatici per
facilitare una risposta efficace alle situazioni di crisi
▪ informazioni sulla prevenzione degli incidenti quali i
rischi associati derivanti dal download di un
software dannoso.
Versione 7 Novembre 2020 Pagina | 17
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
45 Il fornitore deve garantire che le procedure di backup Il fornitore può documentare le procedure di risposta e
proteggano i dati personali e riservati di Microsoft ripristino indicando le modalità in cui l'organizzazione
dall'uso, dall'accesso, dalla divulgazione, gestirà un evento imprevisto e manterrà la sicurezza
dall'alterazione e dalla distruzione non autorizzati. delle informazioni a un livello prestabilito in base agli
obiettivi di continuità per la sicurezza delle informazioni
approvati dal reparto di gestione.
Il fornitore può dimostrare di aver definito e
implementato le procedure per eseguire
periodicamente un backup, conservare in modo sicuro
e recuperare in modo efficace i dati critici.
46 Stabilire e verificare i piani di continuità aziendale e Un piano di ripristino di emergenza deve includere
ripristino di emergenza. quanto segue;
▪ criteri definiti per determinare se un sistema è
critico per il funzionamento del business del
fornitore;
▪ elenchi di sistemi critici sulla base dei criteri definiti
a cui si deve fare riferimento per il ripristino in caso
di emergenza;
▪ procedure di ripristino di emergenza definite per
ciascun sistema critico che garantiscono il ripristino
di un'applicazione persino per un ingegnere che
non conosce il sistema in meno di 72 ore;
▪ test e controlli annuali (o più frequenti) dei piani di
ripristino di emergenza per garantire il
raggiungimento degli obiettivi di ripristino.
47 Autenticare l'identità di una persona prima di Garantire che tutti gli ID utente siano univoci e che
concedere a tale persona l'accesso ai dati personali o ognuno di essi abbia un metodo di autenticazione in
riservati di Microsoft e assicurarsi che l'accesso sia base agli standard di settore quale Azure Active
limitato al particolare ambito di attività della persona Directory.
consentito per sostenere le prestazioni.
Per l'accesso con privilegi elevati (privilegi
amministrativi o altri tipi di privilegi avanzati) è
necessario l'uso di un secondo fattore, ad esempio una
smart card o un autenticatore basato sul telefono.
Programma di sicurezza delle informazioni documentato
che preveda un processo per garantire che l'accesso ai
dati personali o riservati di Microsoft da parte dei
dipendenti o dei subappaltatori del fornitore non vada
oltre il necessario per sostenere le prestazioni.
Versione 7 Novembre 2020 Pagina | 18
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
48 Il fornitore deve proteggere i dati trattati nell'ambito È necessario definire e applicare il processo di
delle sue prestazioni in transito sulle reti con creazione, distribuzione e sostituzione del TLS o di altri
crittografia tramite Transport Layer Security ("TLS") o certificati.
Internet Protocol Security ("IPsec").
Questi metodi sono descritti in NIST 800-52 e NIST 800-
57; può essere usato anche uno standard di settore
equivalente.
Il fornitore deve rifiutarsi di comunicare qualsiasi dato
personale o riservato di Microsoft trasmesso tramite
mezzi non codificati.
49 Tutti dispositivi del fornitore (computer portatili, Crittografare tutti i dispositivi per soddisfare i requisiti
workstation, ecc.) che potranno accedere a dati di Bitlocker o di un'altra soluzione di settore
personali o informazioni riservate di Microsoft e gestirli equivalente per la crittografia del disco per tutti i
devono usare la crittografia basata su disco. dispositivi client usati per gestire i dati personali e
riservati di Microsoft.
Versione 7 Novembre 2020 Pagina | 19
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
50 È necessario attuare sistemi e procedure per Verificare che i dati personali e riservati di Microsoft
crittografare i dati personali e/o riservati di Microsoft, elencati in questa riga siano crittografati inattivi.
indicati di seguito, inattivi (quando sono archiviati)
usando standard di settore attuali quali quello descritto
nello standard NIST 800-111:
▪ dati delle credenziali (ad es. nome
utente/password)
▪ dati usati come strumento di pagamento (ad
esempio numeri di carte di credito e conti bancari)
▪ dati personali relativi all'immigrazione
▪ dati sul profilo medico (ad es. numeri delle cartelle
mediche o marcatori o identificatori biometrici,
come DNA, impronte digitali, retine e iridi, pattern
vocali e facciali e misure delle mani, usati a scopo
identificativo)
▪ dati di identificazione emessi da autorità
governative (ad es. numero di sicurezza sociale o
della patente di guida)
▪ dati appartenenti a clienti Microsoft (ad es.
SharePoint, documenti O365, clienti OneDrive)
▪ materiale relativo a prodotti Microsoft non
annunciati
▪ data di nascita
▪ informazioni sui profili dei bambini
▪ dati geografici in tempo reale
▪ indirizzo fisico personale (non aziendale)
▪ numeri di telefono personali (non aziendali)
▪ religione
▪ opinioni politiche
▪ orientamento/preferenze sessuali
▪ risposte alle domande di sicurezza (ad es. 2fa,
reimpostazione password)
▪ nome da nubile della madre
51 Quando si trattano i dati di carte di credito per conto di Dimostrare la conformità producendo annualmente
Microsoft, rispettare le norme applicabili per la una certificazione Payment Card Industry Data Services
gestione delle carte di credito per ciascuna azienda Standard ("PCI-DSS").
emittente della carta.
Presentare le certificazioni PCI DSS a SSPA.
Versione 7 Novembre 2020 Pagina | 20
Riservato Microsoft# Requisiti di protezione dei dati per i Prova di conformità
fornitori Microsoft
Sezione J: Sicurezza (segue)
52 Il fornitore deve conservare le risorse fisiche Microsoft in Devono essere in atto sistemi e procedure per gestire
un ambiente con accesso controllato. l'accesso fisico a copie digitali, fisiche, di archivio e di
backup dei dati personali di Microsoft.
È necessario tracciare la catena di custodia relativa al
movimento e alla distruzione dei supporti fisici
contenenti i dati di Microsoft.
53 Rendere anonimi tutti i dati personali di Microsoft I dati personali di Microsoft non devono essere usati
utilizzati in ambiente di test o di sviluppo. negli ambienti di sviluppo o test. Qualora non vi sia
alternativa, devono essere resi anonimi per evitare
l'identificazione dei soggetti interessati o l'uso
improprio dei dati personali.
Nota: i dati resi anonimi sono diversi dai dati con
pseudonimo. I dati resi anonimi sono dati che non
fanno riferimento a una persona fisica identificata o
identificabile laddove il soggetto dei dati personali non
è o non è più identificabile.
Versione 7 Novembre 2020 Pagina | 21
Riservato MicrosoftPuoi anche leggere
