Solicitudes de los temas de datos del RGPD y Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés)
El reglamento general de protección de datos (RGPD), añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. Puede encontrar más detalles en el artículo resumen del RGPD.
De manera similar, la Ley de privacidad del consumidor de California (CCPA por sus siglas en inglés), establece derechos y obligaciones de privacidad para los consumidores de California, incluyendo derechos similares a los derechos de las solicitudes del interesado del RGPD, como el derecho a borrar, acceder y recibir (portabilidad) su información personal. La CCPA también prevé casos de divulgación de información, protecciones contra la discriminación en el ejercicio de derechos y requisitos de "cancelación/suscripción" para ciertas transferencias de datos clasificadas como "ventas". Este documento le informa sobre la finalización de solicitudes de interesados en virtud del RGPD al usar productos y servicios de Microsoft.
- Office 365
- Azure
- Intune
- Dynamics 365
- Familia de Visual Studio
- Azure DevOps Services
- Soporte técnico y servicios profesionales de Microsoft
- Windows
- Windows 365
Terminología
Definiciones útiles de los términos del RGPD utilizados en este documento:
- Controlador de datos (controlador): una persona jurídica, autoridad pública, agencia u otro organismo, que por sí solos o conjuntamente con otras personas, determinan el propósito y el medio del procesamiento de datos personales.
- Datos personales e interesado: cualquier información relacionada con una persona física identificada o una persona natural identificable (interesado), una persona física identificable es la que puede identificarse, directa o indirectamente.
- Procesador: una persona física o jurídica, entidad pública, agencia u otro organismo que procese datos personales en nombre del controlador.
- Datos de clientes: datos producidos y almacenados en las operaciones diarias de su empresa.
¿Qué es un DSR?
El Reglamento General de Protección de Datos (RGPD) otorga derechos a las personas (denominadas "interesados" en el reglamento) para administrar los datos personales recopilados por un empresario u otro tipo de agencia u organización (denominado "responsable del tratamiento de los datos" o simplemente "responsable"). El Reglamento general de protección de datos (RGPD) le da a los sujetos de los datos derechos específicos sobre sus datos personales; entre estos derechos se incluyen la obtención de copias de los datos, la solicitud de cambios en ellos, la restricción de su tratamiento, su eliminación o su recepción en formato electrónico para que pueda ser trasladado a otro responsable.
La Ley de privacidad del consumidor de California (CCPA) establece derechos y obligaciones de privacidad para los consumidores de California, incluyendo derechos similares a los Derechos de los sujetos de datos de GDPR, como el derecho a eliminar, acceder y recibir (portabilidad) su información personal.
Como controlador, tiene la obligación de considerar rápidamente cada DSR y proporcionar una respuesta sustantiva, ya sea mediante la realización de la acción solicitada o proporcionando una explicación de por qué el controlador no puede dar cabida al DSR. Un controlador debe consultar con sus propios consejeros jurídicos o asesores de cumplimiento sobre la disposición adecuada de un DSR.
Pueden ser necesarios varios procesos para completar un DSR, sujeto a las normas de cumplimiento de la GDPR de su organización.
- Descubrimiento El proceso de determinar qué datos son necesarios para completar un DSR.
- Acceso La extracción y transmisión potencial al interesado de la información descubierta.
- Rectificado La implementación de modificaciones u otros cambios solicitados respecto a los datos personales.
- Restricción Limitar el acceso o el procesamiento de los datos, restringiendo el acceso o quitando los datos de la nube de Microsoft.
- Exportar Proporcionar un "formato estructurado, de uso común y legible por máquinas" de datos personales al interesado, según lo dispuesto en el "derecho de portabilidad de datos" de la GDPR
- Eliminar. Eliminar permanente los datos personales de la nube de Microsoft.
Consideraciones específicas de DSR
Información generada por los productos o servicios de Microsoft
Los servicios pueden generar conclusiones (Viva Información personal, etc.) Office 365 incluye servicios en línea que proporcionan información a los usuarios y organizaciones que los usan. Los datos generados por estos servicios pueden producir datos personales pertinentes para un DSR. Siga el vínculo en la lista siguiente para obtener más información sobre los procesos de DSR específicos de servicios.
DSR para registros generados por el sistema
Los registros y los datos relacionados generados por Microsoft pueden contener datos considerados personales según la definición del RGPD de "datos personales". No se admite la restricción o rectificación de datos en registros generados por el sistema. Los registros generados por el sistema constituyen acciones realizadas en la nube de Microsoft y datos de diagnóstico, y modificar este tipo de datos podría afectar a los registros históricos de acciones, lo que aumentaría el fraude y los riesgos de seguridad. Microsoft permite acceder, exportar y eliminar los registros generados por el sistema que puedan ser necesarios para completar un DSR. Entre los ejemplos de estos datos se pueden incluir:
- Datos de uso del servicio de productos, como registros de actividad de usuario.
- Solicitudes de búsqueda de usuarios y datos de consultas.
- Los datos generados por productos y servicios como resultado del funcionamiento del sistema y la interacción por los usuarios u otros sistemas.
Viva Engage
La eliminación de la cuenta de un usuario no quitará los registros generados por el sistema para Viva Engage. Para eliminar los datos de estas aplicaciones, consulte uno de los siguientes recursos:
Nubes nacionales
En algunas nubes nacionales, un administrador de TI global necesita eliminar los registros generados por el sistema.
Servicios de Microsoft
Si su organización o usuarios se involucran con Microsoft para recibir, el soporte técnico relacionado con los productos y servicios de Microsoft puede contener datos personales. Para más información, vea Solicitudes de interesados del soporte técnico y los servicios profesionales de Microsoft para el RGPD
Productos para los que Microsoft es el controlador
En algunas circunstancias, los usuarios de su organización pueden tener acceso a los productos o servicios de Microsoft de los que Microsoft es el controlador de datos. En estos casos, los usuarios tienen que iniciar su propio DSR directamente con Microsoft y Microsoft satisface las solicitudes directamente con el usuario.
Productos de terceros
Para los productos y servicios de terceros a los que se accede a través de la autenticación de cuentas de Microsoft, cualquier solicitud del interesado debe dirigirse al tercero correspondiente.
Herramientas de administración de solicitudes del interesado
- Centro de cumplimiento y seguridad: los datos generados por el usuario se exportan a través del Centro de seguridad y cumplimiento o de funciones integradas en la aplicación.
- centro de Microsoft Entra Administración: elimine a un interesado de Microsoft Entra ID y servicios relacionados mediante Microsoft Entra Administración Center.
- Exportación de registros de datos de Microsoft: los administradores de cuentas empresariales pueden exportar los registros generados por el sistema mediante la Exportación de registros de datos de Microsoft.