Microsoft ha nascosto il DPA tra i Product Terms
Microsoft ha integrato il Data Protection Addendum nei Product Terms, complicando la ricerca del documento per i responsabili della conformità.
La nuova collocazione nei Product Terms allunga il percorso per compliance e auditor
A fine maggio, Microsoft ha pubblicato una nuova versione del suo Data Protection Addendum (DPA) datata maggio 2026. Per chi segue la conformità dei fornitori cloud, l’annuncio non è in sé una sorpresa: il DPA viene aggiornato periodicamente per riflettere nuovi prodotti e obblighi normativi. La notizia, però, è un’altra: trovare il documento è diventato più complesso rispetto al passato. Il DPA non è più un allegato autonomo ai vecchi Online Services Terms (OST); ora è un addendum al sito Product Terms, un contenitore più ampio che fonde condizioni d’uso e clausole di trattamento. Per analyst e responsabili della protezione dati, questo spostamento rappresenta un segnale sottile ma significativo sulla trasparenza con cui Microsoft comunica i propri impegni contrattuali.
Il luogo del DPA: un indizio sulla trasparenza
Fino a non molto tempo fa, i termini per i servizi online di Microsoft erano raccolti in un documento separato, gli Online Services Terms (OST). Oggi quei contenuti sono confluiti nei Product Terms e non esistono più come documento indipendente. Il DPA, che definisce i termini di elaborazione dei dati e sicurezza per i prodotti Microsoft, è diventato a sua volta un addendum ai Product Terms. A prima vista, si tratta di una riorganizzazione editoriale senza conseguenze giuridiche. Ma per chi deve verificare rapidamente il perimetro di un impegno contrattuale – un data protection officer, un auditor esterno, un consulente privacy – la differenza è pratica: un documento unico è più facile da consultare, citare e aggiornare di un addendum sepolto in un sito di licenze.
La domanda che emerge è spontanea: perché nascondere il DPA tra i Product Terms? Non si tratta, ovviamente, di un occultamento volontario – Microsoft pubblica il DPA in molteplici lingue e lo rende scaricabile – ma di un cambio di navigabilità. Il percorso per arrivare al testo completo si è allungato, e ogni step in più aumenta il rischio che un team di compliance salti un aggiornamento rilevante. Per un’azienda che misura la conformità dei propri fornitori – esattamente come un marketing scientist misura l’incrementality di una campagna – la trovabilità del documento è una metrica di primo livello.
Cosa dice – e non dice – il DPA di maggio 2026
Nonostante la collocazione meno intuitiva, il contenuto del DPA merita un esame attento. La versione di maggio 2026 (scaricabile in inglese e in altre lingue) ribadisce i termini di elaborazione dei dati e sicurezza per i prodotti Microsoft, come già avveniva nelle edizioni precedenti. Il DPA resta lo strumento legale che codifica gli impegni di protezione dei dati di Microsoft, come spiegato nel Trust Center di Microsoft, che fornisce risorse su come proteggere e gestire i dati degli utenti. In particolare, il DPA specifica i ruoli di titolare e responsabile del trattamento, le finalità del trattamento, le misure di sicurezza e le modalità di trasferimento dei dati verso paesi terzi.
Ma c’è un aspetto che il DPA non può coprire: la misurabilità della conformità. Il documento contiene impegni giuridici, non metriche operative. Non dice, per esempio, con quale frequenza vengono effettuati audit sulle infrastrutture, né pubblica i risultati dei test di penetrazione. Per un analyst abituato a quantificare l’impatto di una campagna con test geo o modelli MMM, questo vuoto è frustrante: come verificare che un impegno contrattuale – «I dati saranno crittografati in transito e a riposo» – sia effettivamente mantenuto? La risposta non sta nel DPA, ma nei report di conformità indipendenti (SOC 2, ISO 27001) e nei dashboard del Trust Center. Tuttavia, il Trust Center è una vetrina informativa, non un contratto. La tensione tra ciò che è promesso legalmente e ciò che è verificabile operativamente resta aperta.
Vale la pena notare che il DPA di maggio 2026 non introduce cambiamenti radicali nei contenuti rispetto alla versione precedente. L’aggiornamento sembra principalmente allinearsi all’evoluzione del catalogo prodotti Microsoft (nuovi servizi, nuove geografie). La vera novità, semmai, è la formalizzazione del passaggio dai vecchi OST ai Product Terms, un’operazione iniziata già nei mesi scorsi e ora completata. Per chi monitora la conformità, è un promemoria che i documenti di riferimento cambiano forma e che bisogna aggiornare i propri bookmark – e i propri processi di verifica.
La misurazione della conformità nell’era dei Product Terms
Se il DPA cambia forma, cambia anche il modo di misurarne l’adozione. Un’azienda che nel 2025 aveva implementato un sistema di monitoraggio basato sull’URL storico del DPA (quello legato agli OST) oggi deve aggiornare i propri riferimenti. Non è un problema tecnico, ma di governance: quanti team di marketing o di prodotto, nel bel mezzo di una campagna transfrontaliera, si fermano a controllare se il fornitore ha aggiornato i termini? Per un performance manager abituato a calcolare il ROAS al centesimo, questa trascurabile frizione burocratica può diventare un costo nascosto – in tempo, in rischi legali, in inefficienza.
L’interrogativo finale è più ampio: come garantire che la trasparenza promessa nei Trust Center si traduca in processi misurabili? I fornitori cloud (Microsoft, Google Cloud, AWS) pubblicano tutti DPA, certificazioni e whitepaper, ma il time-to-find – il tempo necessario per localizzare un impegno specifico – non è mai stato un KPI contrattuale. Forse dovrebbe diventarlo. Perché la protezione dei dati non è solo nei contenuti delle clausole, ma anche nell’accessibilità di quei contenuti. La prossima volta che cercherete un impegno contrattuale in un DPA, chiedetevi quanto sia facile trovarlo. È una metrica che i fornitori di servizi cloud dovrebbero migliorare.
