¿Qué es el límite de datos de la UE?
Información general sobre el límite de datos de la UE
El límite de datos de la UE es un límite definido geográficamente dentro del cual Microsoft se ha comprometido a almacenar y procesar datos de clientes y datos personales para nuestra servicios en línea empresarial de Microsoft, incluidos Azure, Dynamics 365, Power Platform y Microsoft 365, sujeto a circunstancias limitadas en las que los datos de cliente y los datos personales se seguirán transfiriendo fuera del límite de datos de la UE. Esta documentación proporciona detalles sobre esas transferencias. Los servicios en línea incluidos en el compromiso de límite de datos de la UE (a los que se hace referencia en esta documentación como servicios de límite de datos de la UE) se identifican en los Términos de producto de Microsoft como parte de los contratos de servicios.
Importante
Esta documentación sobre límites de datos de la UE refleja el estado actual del límite de datos de la UE a partir de la fecha de publicación. Como se ha indicado en muchos casos en esta documentación, seguimos implementando más servicios, capacidades de servicio y datos de servicios profesionales dentro del límite de datos de la UE y actualizaremos esta documentación en consecuencia y anotaremos la última fecha de actualización. Última actualización: 2 de enero de 2024.
Datos del cliente
Según se define en los Términos de producto de Microsoft, los Datos de cliente se refieren a todos los datos, incluidos todos los archivos de texto, sonido, vídeo o imagen y software, proporcionados a Microsoft por el Cliente, o en su nombre, mediante el uso del Servicio en línea. Los Datos de cliente no incluyen datos de servicios profesionales. Por motivos de claridad, los Datos de cliente tampoco incluyen información que se usa para configurar recursos en los Servicios en línea, como la configuración técnica y los nombres de los recursos.
Datos personales en registros generados por el sistema
Microsoft servicios en línea crear registros generados por el sistema como parte del funcionamiento normal de los servicios. Estos registros registran continuamente la actividad del sistema a lo largo del tiempo para permitir a Microsoft supervisar si los sistemas están funcionando según lo esperado. El "Registro" (el almacenamiento y el procesamiento de registros) es esencial para identificar, detectar, responder y evitar problemas operativos, violaciones de las políticas y actividades fraudulentas; optimizar el rendimiento del sistema, la red y las aplicaciones; ayudar en las investigaciones de seguridad y las actividades de resistencia; y para cumplir con las leyes y reglamentos. Aunque el foco de estos registros está en cómo funcionan los sistemas y no en los usos individuales, cuando los eventos de los servicios en la nube de Microsoft se inician mediante la interacción del usuario con un servicio en la nube, algunos registros que reflejen directamente estos eventos contendrán (y deberán cumplir con sus fines) campos que identifiquen o puedan identificar personas específicas. Estos registros contienen datos personales. Algunos ejemplos de registros generados por el sistema que pueden contener datos personales son:
- Datos de uso de productos y servicios, como registros de actividad de usuario
- Datos generados específicamente por la interacción de los usuarios con otros sistemas
Pseudonimización en registros generados por el sistema
La pseudonimización, tal como se define en el RGPD, artículo 4(5), es el procesamiento de datos personales para que ya no se pueda atribuir a un interesado específico sin usar información adicional. En otras palabras, toma información de identificación personal dentro de un registro de datos y la reemplaza por uno o más identificadores artificiales, o seudónimos, protegiendo así la identidad del interesado.
Microsoft requiere que todos los datos personales de los registros generados por el sistema se se pseudonimizar. Microsoft usa diversas técnicas para pseudonimizar datos personales en registros generados por el sistema, como el cifrado, el enmascaramiento, la tokenización y la difusión de datos. Independientemente del método específico de seudonimización, esto protege la privacidad de los usuarios al permitir que el personal autorizado de Microsoft realice su trabajo mediante registros que contengan solo datos personales pseudonimizados. Esto permite a nuestro personal garantizar la calidad, la seguridad y la confiabilidad de nuestros servicios en línea sin identificar ni identificar a los usuarios. Por ejemplo, esto permite al personal de DevOps identificar el alcance de un problema de servicio entre regiones, incluido el número de usuarios afectados en una región determinada, sin que este personal pueda identificar o identificar a personas específicas. Para obtener más información sobre el modelo Microsoft DevOps, consulta Acceso remoto a datos almacenados y procesados en el límite de datos de la UE. En caso de acceso no autorizado a registros generados por el sistema, el seudónimo ayuda a proteger la privacidad de los usuarios. Los controles de los datos que podrían permitir la identificación de individuos de registros seudonimizados son los mismos que los controles aplicados a los Datos del cliente.
En cambio, otros métodos de protección de la privacidad del usuario que eliminan los datos personales, como el anonimato, alterarían permanentemente los datos, de modo que no se pudieran usar para identificar números únicos de eventos o ocurrencias, y eliminarían la capacidad de identificar a las personas. Dado que los registros generados por el sistema contienen información sobre acciones objetivas, como el tipo, el contenido o el tiempo de las transacciones realizadas en la nube de Microsoft, el anonimato comprometería el registro histórico de acciones, lo que comprometería la capacidad de Microsoft de garantizar la calidad, la confiabilidad y la seguridad de nuestros servicios.
Microsoft realiza varios pasos para limitar el acceso y el uso de los registros generados por el sistema. Los controles de seguridad incluyen:
- Minimización de datos mediante la implementación de directivas de retención establecidas en el tiempo de retención mínimo necesario para cada tipo de registro.
- Comprobaciones y borrados regulares de los registros generados por el sistema para detectar errores o no conformidad de directivas.
- Uso limitado de registros generados por el sistema únicamente para fines relacionados con operaciones de servicio.
- Directivas que requieren controles de acceso que limitan la rehidratación o la reidentificación de datos personales, de modo que se devuelvan a su forma original.
Países con límites de datos de la UE y ubicaciones de centros de datos
El límite de datos de la UE está formado por los países de la Unión Europea (UE) y la Asociación Europea de Libre Comercio (EFTA). Los países de la UE son Austria, Bélgica, Bulgaria, Croacia, Chipre, República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España y Suecia; y los países de la AELC son Liechtenstein, Islandia, Noruega y Suiza.
El límite de datos de la UE usa o puede usar centros de datos de Microsoft anunciados o que funcionan actualmente en Alemania, Austria, Bélgica, Dinamarca, Finlandia, Francia, Grecia, Irlanda, Italia, Noruega, Países Bajos, Polonia, Suecia y Suiza. En el futuro, Microsoft podrá establecer centros de datos en otros países ubicados en la UE o la EFTA para proporcionar servicios de límite de datos de la UE.
Cómo configurar servicios para su uso en el límite de datos de la UE
Para los servicios de límite de datos de la UE, los datos del cliente y los datos personales seudonimizados se almacenan y tratan en centros de datos ubicados en países de la UE o la EFTA. En algunos casos, los clientes pueden seleccionar directamente la región de implementación de la UE; en otros, la ubicación se asigna automáticamente en función de la ubicación del cliente, la dirección de facturación o la decisión del cliente de que su entorno resida en el límite de datos de la UE.
- Para Azure, los servicios regionales que implementa un cliente en una región de límite de datos de la UE estarán dentro del ámbito del límite de datos de la UE. Para obtener más información, incluidos los detalles sobre qué regiones de Azure están en la UE y la EFTA, consulte Data Residency en Azure. Para los servicios no regionales de Azure, consulte Configuración de servicios no regionales de Azure para el límite de datos de la UE para obtener más información sobre cómo configurar cada uno de estos servicios para que esté dentro del ámbito del límite de datos de la UE.
- Para Dynamics 365 y Power Platform, el área geográfica (Geo) en la que se hospeda el espacio de servicios de un cliente depende de la dirección de facturación. Los clientes pueden configurar sus servicios para que estén dentro del ámbito del límite de datos de la UE, aprovisionando su espacio empresarial y todos los entornos de Dynamics 365 y Power Platform en un entorno geográfico situado en el límite de datos de la UE. Para obtener más información, consulte el conjunto de disponibilidad y Crear y administrar entornos en el Centro de administración de Power Platform.
- Para Microsoft 365, los clientes con una ubicación de registro en un país o región de la UE o la EFTA están dentro del ámbito del límite de datos de la UE. Sin embargo, los clientes que hayan comprado funcionalidades multigemicas no están dentro del ámbito del límite de datos de la UE, incluso si su inquilino figura como un país o región en la UE o la EFTA. Los clientes pueden comprobar el país o la región de su inquilino en el Centro de administración de Microsoft 365.