Lista de comprobación de preparación de responsabilidad para Microsoft 365
1. Introducción
Esta lista de comprobación de preparación de responsabilidad ofrece una forma cómoda de acceso a información que tal vez necesite para cumplir el RGPD al usar Microsoft Office 365.
Puede administrar los elementos de esta lista de comprobación con el Administrador de cumplimiento haciendo referencia al identificador de control y el título del control en Controles administrados de cliente en el icono RGPD.
Además, los elementos de esta lista de comprobación son inferiores a 5.Protección de datos & Seguridad proporciona referencias a los controles enumerados en Controles administrados por Microsoft en el icono RGPD del Administrador de cumplimiento. La revisión de los detalles de implementación de Microsoft para estos controles proporciona una explicación adicional del enfoque de Microsoft para cumplir las consideraciones del cliente en el elemento de lista de comprobación.
La lista de comprobación y el Administrador de cumplimiento se organizan con los títulos y números de referencia (entre paréntesis para cada tema de la lista de comprobación) de un conjunto de controles de seguridad y privacidad para los encargados del tratamiento de datos personales, extraído de:
- ISO/IEC 27701 para las técnicas y requisitos en la gestión de la privacidad.
- ISO/IEC 27001 para los requisitos de técnicas de seguridad.
Esta estructura de control también se usa para organizar la presentación de los controles internos que Microsoft Office 365 implementa para cumplir el RGPD, que pueden descargarse desde el Centro de confianza del servicio.
2. Condiciones de recopilación y procesamiento
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Establecer cuándo se debe obtener consentimiento (7.2.3) | El cliente debe conocer los requisitos legales o reglamentarios relativos a la obtención del consentimiento de los usuarios antes de procesar sus datos personales (cuándo es necesario, si el tipo de procesamiento no está contemplado en los requisitos, etc.), así como el modo en que dicho consentimiento se obtiene. | Office 365 no proporciona soporte directo para la obtención del consentimiento del usuario. | (6)(1)(a), (8)(1), (8)(2) |
Identificar y documentar el propósito (7.2.1) | El cliente debe documentar con qué propósito se tratan los datos personales. | Descripción del tratamiento que Microsoft lleva a cabo (y los propósitos de dicho tratamiento) que puede incluirse en la documentación de responsabilidad. - Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD [1] |
(5)(1)(b), (32)(4) |
Identificar el fundamento legal (7.2.2) | El cliente debe conocer cualquier requisito relacionado con el fundamento legal del tratamiento, como, por ejemplo, si se debe dar consentimiento en primer lugar. | Descripción del tratamiento de datos personales que realizan los servicios Microsoft para incluirla en la documentación de responsabilidad. - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(4)(a) c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c) ), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
Establecer cuándo se debe obtener consentimiento (7.2.3) | El cliente debe conocer los requisitos legales o reglamentarios relativos a la obtención del consentimiento de los usuarios antes de procesar sus datos personales (cuándo es necesario, si el tipo de procesamiento no está contemplado en los requisitos, etc.), así como el modo en que dicho consentimiento se obtiene. | Office 365 no proporciona soporte directo para la obtención del consentimiento del usuario. | (6)(1)(a), (8)(1), (8)(2) |
Obtener y registrar el consentimiento (7.2.4) | Cuando se determina que es necesario, el cliente debe obtener el consentimiento adecuadamente. El cliente también debe tener en cuenta los requisitos de cómo se presenta y recopila una solicitud de consentimiento. | Office 365 no proporciona soporte directo para la obtención del consentimiento del usuario. | (7)(1), (7)(2), (9)(2)(a) |
Evaluación del impacto en la privacidad (7.2.5) | El cliente debe conocer los requisitos para cumplimentar evaluaciones del impacto en la privacidad (cuándo deben realizarse, las categorías de datos que pueden necesitar una, el tiempo necesario para completar una evaluación, etc.). | En la página Evaluaciones de impacto de la protección de datos (DPIA) del Portal de confianza de servicios se proporciona información general sobre cómo los servicios de Microsoft determinan cuándo realizar una DPIA y una visión general del programa DPIA en Microsoft, incluida la participación del DPO. Para obtener soporte técnico con respecto a las evaluaciones de impacto en la protección de datos, consulte: - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(35) |
Contratos con procesadores pii (7.2.6) | El cliente debe asegurarse de que, en sus contratos con los encargados, se contemplen requisitos que ayuden con cualquier obligación legal o reglamentaria correspondiente relativa al tratamiento y protección de datos personales. | Contratos de Microsoft que requieren que le ayudemos con sus obligaciones derivadas del RGPD, incluido el cumplimiento de los derechos del interesado. - Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD [1] |
(5)(2), (28)(3)(e), (28)(9) |
Registros relacionados con el tratamiento de DCP (7.2.7) | El cliente debe mantener todos los registros necesarios y necesarios relacionados con el procesamiento de datos personales (es decir, propósito, medidas de seguridad, etc.). En los casos en los que estos registros los deba facilitar un encargado secundario, el cliente debe asegurarse de que puede obtenerlos. | Las herramientas que los servicios Microsoft ofrecen para ayudarle a mantener los registros necesarios demuestran el cumplimiento y la compatibilidad con la responsabilidad derivada del RGPD. - Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Derechos de los titulares de los datos
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Estipular los derechos de las entidades de seguridad de DCP y permitir que se ejerzan (7.3.1) | El cliente debe conocer los requisitos respecto a los derechos de un individuo en relación con el procesamiento de sus datos personales. Entre estos derechos se incluyen aspectos como el acceso, la corrección y la eliminación. Si el cliente usa un sistema de terceros, deberá dilucidar qué partes de ese sistema (si procede) facilitan las herramientas que permiten a los individuos el ejercicio de sus derechos (por ejemplo, para obtener acceso a los datos). En caso de que el sistema proporcione estas funciones, el cliente debe utilizarlas cuando sea necesario. | Funcionalidad que Microsoft facilita para cumplir los derechos del interesado. - Solicitudes del interesado de Office 365 para el RGPD [8] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see ISO, IEC 27018, 2014 control A.1.1 |
(12)(2) |
Determinar la información relativa a las entidades de seguridad de DCP (interesados) (7.3.2) | El cliente debe comprender los requisitos para los tipos de información sobre el procesamiento de datos personales que deben estar disponibles para ser proporcionados a la persona. Esto puede incluir cosas como: - Detalles de contacto sobre el responsable o su representante; - información sobre el procesamiento (fines, transferencia internacional y seguridad relacionada, período de retención, etc.); - información sobre cómo la entidad de seguridad puede tener acceso a sus datos personales o modificarlos; solicitar la supresión o restricción del tratamiento; recibir una copia de sus datos personales y portabilidad de los datos personales - cómo y desde dónde se obtienen los datos personales (si no se obtuvieron directamente de la entidad de seguridad) - información sobre el derecho a presentar una reclamación y a quién; - información sobre las correcciones a los datos personales; - notificación de que la organización ya no está en condiciones de identificar al interesado (entidad de seguridad de DCP), en aquellos casos en los que el tratamiento ya no requiere la identificación del interesado; - transferencias o divulgación de datos personales; - la existencia de toma de decisiones automatizada basada únicamente en un tratamiento automatizado de los datos personales; - información sobre la frecuencia con la que la información se actualiza y se proporciona al interesado (es decir, notificaciones "just-in-time", frecuencia definida por la organización, etc.) Cuando el cliente usa sistemas de terceros o encargados de tratamiento, debe determinar qué parte de esta información (si corresponde) deben proporcionar ellos y asegurarse de que puede obtener la información necesaria de dichos terceros. |
Información sobre los servicios Microsoft que puede incluir en los datos que proporcione a los interesados. - Solicitudes del interesado de Office 365 para el RGPD [8] - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
Facilitar información a las entidades de seguridad de DCP (7.3.3) | El cliente debe cumplir cualquier requisito relativo a cómo, cuándo y de qué manera se va a facilitar la información necesaria a un individuo en relación con el procesamiento de sus datos personales. En los casos donde sea un tercero quien proporcione la información necesaria, el cliente debe asegurarse de que lo hace según lo dispuesto en el RGPD. | Información basada en un modelo sobre los servicios Microsoft que puede incluir en los datos que facilita a los interesados. - Solicitudes del interesado de Office 365 para el RGPD [8] - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
Facilitar un mecanismo para modificar o retirar el consentimiento (7.3.4) | El cliente debe comprender los requisitos para informar a los usuarios sobre su derecho a acceder, corregir y/o borrar sus datos personales y para proporcionar un mecanismo para que lo hagan. Si se usa un sistema de terceros y proporciona este mecanismo como parte de su funcionalidad, el cliente debe usar esa funcionalidad según sea necesario. | Información sobre la funcionalidad de servicios Microsoft que se puede usar al definir la información que se facilita a los interesados cuando se solicita consentimiento. - Solicitudes del interesado de Office 365 para el RGPD [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
Facilitar un mecanismo para oponerse al tratamiento (7.3.5) | El cliente debe comprender los requisitos en torno a los derechos de los interesados. Cuando una persona tiene derecho a oponerse al procesamiento, el cliente debe informarle y tener una manera de que el individuo registre su objeción. | Información sobre servicios Microsoft relativos a los objetos que se van a tratar que puede incluir en los datos que facilita a los interesados. - Solicitudes del interesado de Office 365 para el RGPD [8] ver Paso 4: Restringir |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
Compartir el ejercicio de los derechos de las entidades de seguridad de DCP (7.3.6) | El cliente debe conocer los requisitos para informar a los terceros con los que se compartan datos personales de los casos de modificación de datos a raíz del ejercicio de derechos de un individuo (por ejemplo, porque solicite borrar o modificar datos, etc.). | Información sobre la funcionalidad de servicios Microsoft que permite encontrar los datos personales que se han compartido con terceros. - Solicitudes del interesado de Office 365 para el RGPD [8] |
(19) |
Corrección o supresión (7.3.7) | El cliente debe comprender los requisitos para informar a los usuarios sobre su derecho a acceder, corregir y/o borrar sus datos personales y para proporcionar un mecanismo para que lo hagan. Si se usa un sistema de terceros y proporciona este mecanismo como parte de su funcionalidad, el cliente debe usar esa funcionalidad según sea necesario. | Información basada en un modelo sobre los servicios Microsoft en relación con su capacidad de acceso, corrección o borrado de datos personales que puede incluir en los datos que facilita a los interesados. - Solicitudes del interesado de Office 365 para el RGPD [8] ver Paso 5: Eliminar |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
Facilitar una copia de la DCP tratada (7.3.8) | El cliente debe comprender los requisitos para ofrecer una copia de los datos personales que se procesan al individuo. Puede tratarse de requisitos relativos al formato de la copia (es decir, que sea legible para el equipo), cómo transferir la copia, etc. Si el cliente usa un sistema de terceros que ya incluya la funcionalidad para facilitar copias, deberá usar esta funcionalidad como corresponda. | Información sobre las capacidades de servicios de Microsoft que le permiten obtener una copia de los datos personales que se pueden incluir en los datos que proporcione a los titulares de los datos. - Solicitudes del interesado de Office 365 para el RGPD [8] ver Paso 6: Exportar |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
Administración de solicitudes (7.3.9) | El cliente debe comprender los requisitos para aceptar y responder a solicitudes legítimas de personas relacionadas con el procesamiento de sus datos personales. Cuando el cliente usa un sistema de terceros, debe saber si ese sistema proporciona las capacidades para este control de solicitudes. Si es así, el cliente debe usar estos mecanismos para controlar las solicitudes según sea necesario. | Información sobre las capacidades de los servicios Microsoft que se pueden usar al definir la información que se facilita a los interesados cuando se administran solicitudes de los interesados. - Solicitudes del interesado de Office 365 para el RGPD [8] El cliente debe conocer los requisitos relativos al tratamiento automatizado de datos personales y en qué aspectos se toman decisiones por medio de esa automatización. Ello conlleva facilitar información a un individuo sobre el tratamiento, oponerse a dicho tratamiento u obtener la intervención humana. Si estas características las proporciona un sistema de terceros, el cliente debe asegurarse de que dicho tercero facilita toda la información o asistencia que sean necesarios. Información sobre la funcionalidad de servicios Microsoft que admita la toma de decisiones automatizada que se puede usar en la documentación de responsabilidad, así como información basada en un modelo de los interesados sobre esa funcionalidad. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacidad por diseño y de forma predeterminada
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Limitar la recopilación (7.4.1) | El cliente debe comprender los requisitos sobre los límites establecidos en torno a la recopilación de los datos personales (por ejemplo, que la recopilación deba limitarse a lo estrictamente necesario para una finalidad en concreto). | Descripción de los datos recopilados por los servicios Microsoft. - Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD [1] - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(5)(1)(b), (5)(1)(c) |
Limitar el tratamiento (7.4.2) | El cliente es responsable de limitar el tratamiento de datos personales de modo que quede restringido a lo que sea adecuado para una finalidad en concreto. | Descripción de los datos recopilados por los servicios Microsoft. - Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD [1] - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(25)(2) |
Definir y documentar los objetivos de minimización y desidentificación de DCP (7.4.3) | El cliente debe conocer los requisitos sobre la desidentificación de datos personales, lo que puede englobar cuándo debe usarse, el alcance de esa desidentificación y los casos en los que no se puede usar. | Microsoft hace uso de la desidentificación y seudonimización de manera interna y cuando proceda para ofrecer más medidas de seguridad de la privacidad de datos personales. | (5)(1)(c) |
Cumplir con los niveles de identificación (7.4.4) | El cliente debe usar y cumplir con los métodos y objetivos de desidentificación en vigor en su organización. | Microsoft hace uso de la desidentificación y seudonimización de manera interna y cuando proceda para ofrecer más medidas de seguridad de la privacidad de datos personales. | (5)(1)(c) |
Desidentificación y eliminación de DCP (7.4.5) | El cliente debe comprender los requisitos relativos a la retención de datos personales más allá de su uso para los fines identificados. Cuando el sistema proporciona herramientas, el cliente debe usar esas herramientas para borrar o eliminar según sea necesario. | Funcionalidad facilitada por Servicios en la nube de Microsoft para cumplir las directivas de retención de datos. - Solicitudes del interesado de Office 365 para el RGPD [8], ver Paso 5: Eliminar |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
Archivos temporales (7.4.6) | El cliente debe ser consciente de que es posible que el sistema cree archivos temporales que podrían llevar a un incumplimiento de las directivas relacionadas con el tratamiento de datos personales (por ejemplo, es posible que se conserven datos personales en un archivo temporal durante más tiempo del permitido o necesario). En caso de que el sistema facilite herramientas para la eliminación o protección de archivos temporales, el cliente deberá usarlas para satisfacer estos requisitos. | Descripción de la funcionalidad facilitada por el servicio para identificar datos personales y comprobar que cumplen con las directivas de archivos temporales. Solicitudes del interesado de Office 365 para el RGPD [8], ver Paso 1: Detección |
(5)(1)(c) |
Retención (7.4.7) | El cliente debe decidir durante cuánto tiempo se deben conservar los datos personales, teniendo en cuenta la finalidad en concreto. | Información sobre la retención de datos personales por parte de los servicios Microsoft que se puede incluir en la documentación facilitada a los interesados. - Términos de Microsoft Online Services, términos de la protección de datos, ver Seguridad de datos, retención [1] |
(13)(2)(a), (14)(2)(a) |
Eliminación (7.4.8) | El cliente debe usar cualquier mecanismo de eliminación existente en el sistema para eliminar datos personales. | Funcionalidad facilitada por Servicios en la nube de Microsoft para cumplir las directivas de eliminación de datos. -* Solicitudes del interesado de Office 365 para el RGPD* [8] ver Paso 5: Eliminar |
(5)(1)(f) |
Procedimientos de recopilación (7.4.9) | El cliente debe conocer los requisitos sobre la precisión de los datos personales (por ejemplo, ser precisos a la hora de recopilarlos, mantenerlos actualizados, etc.) y usar cualquier mecanismo existente en ese sistema para acometer esas tareas. | Modo en que los servicios Microsoft contemplan la precisión de los datos personales y la funcionalidad que dichos servicios facilitan para cumplir la directiva de precisión de datos. - Solicitudes del interesado de Office 365 para el RGPD [8] ver Paso 3: Rectificar |
(5)(1)(d) |
Controles de transmisión (7.4.10) | El cliente debe conocer los requisitos para proteger la transmisión de datos personales, como, por ejemplo, quién tiene acceso a los mecanismos de transmisión, los registros de transmisión, etc. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
Identificar la base para la transferencia de PII (7.5.1) | El cliente debe conocer los requisitos para transferir datos personales (PII) a otra ubicación geográfica, así como documentar las medidas puestas en marcha para satisfacer tales requisitos. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
Artículos (44), (45), (46), (47), (48) y (49) |
Países y organizaciones a los que se puede transferir DCP (7.5.2) | El cliente debe comprender, y ser capaz de proporcionar a la persona, los países a los que se pueden transferir o los datos personales. Cuando un tercero o procesador pueda realizar esta transferencia, el cliente debe obtener esta información del procesador. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(30)(1)(e) |
Registros de transferencias de DCP (datos personales) (7.5.3) | El cliente debe mantener todos los registros necesarios y necesarios relacionados con las transferencias de datos personales. Cuando un tercero o procesador realiza la transferencia, el cliente debe asegurarse de que mantiene los registros adecuados y los obtiene según sea necesario. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] |
(30)(1)(e) |
Registros de divulgación de DCP a terceros (7.5.4) | El cliente debe comprender los requisitos relacionados con la grabación a quién se han divulgado los datos personales. Esto puede incluir divulgaciones a las fuerzas del orden, etc. Cuando un tercero o procesador divulga los datos, el cliente debe asegurarse de que mantiene los registros adecuados y los obtiene según sea necesario. | Documentación sobre las categorías de destinatarios de divulgaciones de datos personales, incluidos los registros de divulgación disponibles. - Quién puede tener acceso a los datos y en qué condiciones [6] |
(30)(1)(d) |
Responsable asociado (7.5.5) | El cliente debe decidir si se trata de un responsable asociado a cualquier otra organización y, como tal, documentar y asignar las obligaciones convenientemente. | Documentación de los servicios Microsoft que son responsables de información personal, incluida la información basada en un modelo que puede incluirse en la documentación para los interesados. - Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD [1] |
5. Protección y seguridad de los datos
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Conocer la organización y su contexto (5.2.1) | Los clientes deben definir su rol en el procesamiento de datos personales (por ejemplo, responsable, encargado o corresponsable) para identificar los requisitos adecuados (reglamentarios, etc.) para el procesamiento de los datos personales. | Forma en la que Microsoft considera cada servicio como encargado o responsable al tratar datos personales. - Términos de Microsoft Online Services, términos de la protección de datos, vea Tratamiento de datos personales; RGPD, Roles de responsable y encargado y obligaciones, [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
Conocer las necesidades y expectativas de las partes interesadas (5.2.2) | Los clientes deben distinguir las partes que desempeñan un papel o tienen interés en el tratamiento de datos personales (por ejemplo, reguladores, auditores, interesados, encargados del tratamiento de datos personales contratados, etc.), así como conocer los requisitos para que cada parte interactúe cuando proceda. | Modo en que Microsoft incorpora las vistas de todas las partes interesadas en consideración de los riesgos que entraña el tratamiento de datos personales. - Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10] - Manual ISMS de Office 365 [14] ver 4.2 CONOCER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS - Conocer las necesidades y expectativas de las partes interesadas (5.2.2) en el Administrador de cumplimiento |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
Establecer el ámbito del sistema de administración de seguridad de la información (5.2.3 y 5.2.4) | Como parte de cualquier programa general de privacidad o seguridad que un cliente puede haber puesto en marcha, se debe contemplar en ellos el tratamiento de datos personales y los requisitos relativos a él. | Modo en que los servicios Microsoft incluyen el tratamiento de datos personales en los programas de privacidad y administración de seguridad de la información. - Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12] ver A.19 - Informe de auditoría SOC 2 Type 2 [11] - Manual de OFFICE 365 ISMS [14] vea 4. Contexto de la organización - 5.2.3 Establecer el ámbito del sistema de administración de seguridad de la información en el Administrador de cumplimiento - 5.2.4 Sistema de administración de seguridad de la información en el Administrador de cumplimiento |
(32)(2) |
Planeación (5.3) | Los clientes deben tener en cuenta el tratamiento de los datos personales como parte de cualquier evaluación de riesgos que lleven a cabo, así como aplicar los controles que consideren necesarios para mitigar los riesgos relacionados con los datos personales que controlan. | Modo en que los servicios Microsoft consideran los riesgos específicos del tratamiento de datos personales como parte del programa general de privacidad y administración de seguridad. - Office 365, manual de sistemas de administración de la seguridad de la información [14] ver 5.2 Directiva - 5.3 Planeación en el Administrador de cumplimiento |
(32)(1)(b), (32)(2) |
Directivas de seguridad de la información (6.2) | El cliente debe ampliar cualquier directiva de seguridad de la información existente para que contemple la protección de datos personales, incluidas las directivas necesarias para respetar las leyes vigentes. | Directivas de Microsoft sobre seguridad de la información y medidas específicas para la protección de información personal. - Microsoft Office 365 (All-Up), declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12], ver A.19 - Informe de auditoría SOC 2 Type 2 [11] - 6.2 Directivas de seguridad de la información en el Administrador de cumplimiento |
24(2) |
Organización de seguridad de la información Consideración para el cliente (6.3) | Dentro de su organización, el cliente debe definir las responsabilidades de seguridad y protección de los datos personales. Esto puede incluir establecer roles específicos para supervisar los asuntos relacionados con la confidencialidad, incluido un DPO. Estos roles requieren un soporte técnico adecuado de aprendizaje y administración. | Información general sobre el rol de responsable de la protección de datos de Microsoft, la naturaleza de sus tareas, la estructura jerárquica e información de contacto. - Responsable de la protección de datos de Microsoft [18] - Manual de sistemas de administración de la seguridad de la información de Office 365l [14] ver 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES DE LA ORGANIZATIONAL - 6.3 Organización de seguridad de la información en Administrador de cumplimiento |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
Seguridad de recursos humanos (6.4) | El cliente debe definir y asignar la responsabilidad que facilite el aprendizaje pertinente sobre protección de datos personales. | Información general sobre el rol de responsable de la protección de datos de Microsoft, la naturaleza de sus tareas, la estructura jerárquica e información de contacto. - Responsable de la protección de datos de Microsoft [18] - Manual de sistemas de administración de la seguridad de la información de Office 365l [14] ver 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES DE LA ORGANIZATIONAL - 6.4 Seguridad de recursos humanos en el Administrador de cumplimiento |
(39)(1)(b) |
Clasificación de la información (6.5.1) | El cliente debe considerar los datos personales expresamente como parte de un esquema de clasificación de datos. | Funcionalidad de Office 365 que admite la clasificación de datos personales. - Protección de la información de Office 365 para GDPR [5] ver Diseño de un esquema de clasificación de datos personales - 6.5.1 Clasificación de la información en el Administrador de cumplimiento |
(39)(1)(b) |
Administración de medios extraíbles (6.5.2) | El cliente debe establecer directivas internas que rijan el uso de un medio extraíble en relación con la protección de datos personales (por ejemplo, dispositivos cifrados). | Como los servicios Microsoft protegen la seguridad de la información personal en un medio extraíble. - Plan de seguridad de sistema FedRAMP de nivel moderado [3] ver 13.10 Protección de medios (MP) - Administración de medios extraíbles en el Administrador de cumplimiento |
(32)(1)(a), (5)(1)(f) |
Transferencia de medios físicos (6.5.3) | El cliente debe establecer directivas internas que rijan la protección de los datos personales al transferir medios físicos (por ejemplo, cifrado). | Modo en que los servicios Microsoft protegen los datos personales durante la transferencia de cualquier medio físico. - Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 13.10 Protección de medios (MP) - 6.5.3 Transferencia de medios físicos en el Administrador de cumplimiento |
(32)(1)(a), (5)(1)(f) |
Administración del acceso de usuario (6.6.1) | El cliente debe tener conocimiento de las distintas responsabilidades que tiene para el control de acceso dentro del servicio que esté usando y administrar esas responsabilidades correctamente a través de las herramientas disponibles. | Herramientas que ofrecen los servicios Microsoft para ayudarle a exigir el control de acceso. - Office 365, documentación de seguridad [2], ver Proteger el acceso a datos y servicios de Office 365 - 6.6.1 Administración del acceso de usuario en el Administrador de cumplimiento |
(5)(1)(f) |
Registro de usuarios y anulación de registros (6.6.2) | El cliente debe administrar el registro de usuarios, así como la eliminación de registros, en el servicio que use y con las herramientas que tenga a su disposición. | Herramientas que ofrecen los servicios Microsoft para ayudarle a exigir el control de acceso. - Office 365, documentación de seguridad [2], ver Proteger el acceso a datos y servicios de Office 365 - 6.6.2 Registro de usuarios y anulación de registros en el Administrador de cumplimiento |
(5)(1)(f) |
Aprovisionamiento del acceso de usuario (6.6.3) | El cliente debe administrar los perfiles de usuario, sobre todo en lo tocante al acceso autorizado a datos personales, en el servicio que use y con las herramientas que haya disponibles. | Modo en que los servicios Microsoft permiten el control de acceso a los datos personales, esto es, identificadores de usuario, roles, acceso a las aplicaciones y registro y anulación de registros de usuarios. - Office 365, documentación de seguridad [2], ver Proteger el acceso a datos y servicios de Office 365 - Usar restricciones de espacio empresarial para administrar el acceso a aplicaciones en la nube de SaaS [15] - Aprovisionamiento de acceso de usuario en el Administrador de cumplimiento |
(5)(1)(f) |
Administración del acceso con privilegios (6.6.4) | El cliente debe administrar los identificadores de usuario de forma que permita llevar un seguimiento del acceso (sobre todo a los datos personales) en el servicio que use y con las herramientas que haya disponibles. | Modo en que los servicios Microsoft permiten el control de acceso a los datos personales, esto es, identificadores de usuario, roles y registro y anulación de registros de usuarios. - Office 365, documentación de seguridad 2, ver Proteger el acceso a datos y servicios de Office 365 - Usar restricciones de espacio empresarial para administrar el acceso a aplicaciones en la nube de SaaS [15] -6.6.4 Administración de acceso con privilegios en el Administrador de cumplimiento |
(5)(1)(f) |
Asegurar los procedimientos de inicio de sesión (6.6.5) | El cliente debe emplear los mecanismos facilitados en el servicio para garantizar la funcionalidad de inicio de sesión seguro para sus usuarios cuando proceda. | Modo en que los servicios Microsoft contemplan las directivas de control de acceso internas relacionadas con los datos personales. - Quién puede tener acceso a los datos y en qué condiciones [6] - 6.6.5 Procedimientos de acceso seguro en el Administrador de cumplimiento |
(5)(1)(f) |
Criptografía (6.7) | El cliente debe determinar qué datos deben cifrarse y si el servicio que usa ofrece esta funcionalidad. El cliente debe usar el cifrado según sea necesario, con las herramientas disponibles para ellos. | Modo en que los servicios Microsoft aceptan el cifrado y la seudonimización para reducir el riesgo del tratamiento de datos personales. - Planes de seguridad de sistema (SSP) FedRAMP de nivel moderado, ver Cosmos pp29 - 6.7 Criptografía en el Administrador de cumplimiento |
(32)(1)(a) |
Eliminación segura o reutilización de equipos (6.8.1) | Si el cliente usa servicios de informática en la nube (PaaS, SaaS, IaaS), debe tener conocimiento de cómo el proveedor de nube garantiza que los datos personales se van a eliminar del espacio de almacenamiento antes de que dicho espacio se asigne a otro cliente. | Modo en que los servicios Microsoft garantizan que los datos personales se eliminan de un equipo de almacenamiento antes de reutilizarlo o transferirlo a otra persona. - Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 13.10 Protección de medios (MP) - 6.8.1 Eliminación segura o reutilización de equipos en el Administrador de cumplimiento |
(5)(1)(f) |
Directiva de pantalla y escritorio despejados (6.8.2) | El cliente debe tener en cuenta los riesgos relacionados con el material impreso que muestre datos personales, y puede restringir potencialmente la creación de este material. Cuando el sistema utilizado permita este tipo de restricciones (por ejemplo, una configuración para evitar la impresión, o la copia y pegado de datos confidenciales), el cliente debe considerar su uso. | Qué implementa Microsoft para administrar copias impresas. - Microsoft mantiene estos controles internamente, vea Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12] A.10.2, A.10.7 y A.4.1 - 6.8.2 Directiva de pantalla y escritorio despejados en el Administrador de cumplimiento |
(5)(1)(f) |
Separación de los entornos operativos, de desarrollo y de pruebas (6.9.1) | El cliente debe considerar las implicaciones que conlleva el uso de datos personales en los entornos de desarrollo y pruebas de la organización. | Modo en que Microsoft garantiza que los datos personales están protegidos en los entornos de desarrollo y pruebas. - Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12], ver A.12.1.4 - 6.9.1 Separación de los entornos operativos, de desarrollo y de pruebas en el Administrador de cumplimiento |
5(1)(f) |
Copia de seguridad de la información (6.9.2) | El cliente debe asegurarse de usar la funcionalidad que el sistema facilita para crear redundancias de los datos y probarlas según sea necesario. | Modo en que Microsoft garantiza la disponibilidad de los datos entre los que pueda haber datos personales, modo en que se garantiza la precisión de los datos restaurados, y las herramientas y procedimientos que los servicios Microsoft facilitan para hacer copias de seguridad de los datos y restaurarlos. - Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 10.9 Disponibilidad - 6.9.2 Copia de seguridad de la información en el Administrador de cumplimiento |
(32)(1)(c), (5)(1)(f) |
Registro de eventos (6.9.3) | El cliente debe comprender las funcionalidades de registro que proporciona el sistema y usarlas para garantizar que se puedan registrar las acciones relativas a los datos personales que se consideren necesarias. | Datos que el servicio Microsoft registra de forma automática, como las actividades de usuario, las excepciones, los errores y los eventos de seguridad de información, así como el modo en que se puede tener acceso a esos registros para su uso como parte del mantenimiento de registros. - Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16] - 6.9.3 Registro de eventos en el Administrador de cumplimiento |
(5)(1)(f) |
Protección de la información de registros (6.9.4) | El cliente debe tener en cuenta los requisitos para proteger la información de registro que puede contener datos personales o que pueden contener registros relacionados con el procesamiento de datos personales. Cuando el sistema en uso proporciona funcionalidades para proteger los registros, el cliente debe usar estas funcionalidades cuando sea necesario. | Modo en que Microsoft protege los registros que pueden contener datos personales. - Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16] - 6.9.4 Protección de información de registros en el Administrador de cumplimiento |
(5)(1)(f) |
Directivas y procedimientos de transferencia de información (6.10.1) | El cliente debe tener procedimientos para los casos en los que los datos personales se puedan transferir en medios físicos (como un disco duro que se mueve entre servidores o instalaciones). Estos pueden incluir registros, autorizaciones y seguimiento. Cuando un tercero u otro procesador pueda transferir medios físicos, el cliente debe asegurarse de que esa organización tenga procedimientos implementados para garantizar la seguridad de los datos personales. | Modo en que los servicios Microsoft transfieren medios físicos que puedan contener datos personales (incluidas las circunstancias en las que podría producirse una transferencia) y las medidas de protección tomadas para proteger los datos. - Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 13.10 Protección de medios (MP) - 6.10.1 Directivas y procedimientos de transferencia de información en el Administrador de cumplimiento |
(5)(1)(f) |
Acuerdos de confidencialidad (6.10.2) | El cliente debe decidir la necesidad de tener acuerdos de confidencialidad (o equivalente) con los usuarios individuales que tienen acceso a los datos personales o responsabilidades al respecto. | Modo en que los servicios Microsoft garantizan que los usuarios individuales con acceso autorizado a los datos personales se han comprometido a no revelarlos. Informe de auditoría de SOC 2 Type 2 [11], ver CC1.4 pp33 - 6.10.2 Acuerdos de confidencialidad en el Administrador de cumplimiento |
(5)(1)(f), (28)(3)(b), (38)(5) |
Proteger los servicios de aplicaciones en redes públicas (6.11.1) | El cliente debe comprender los requisitos para el cifrado de datos personales, especialmente cuando se envían a través de redes públicas. Cuando el sistema proporciona mecanismos para cifrar los datos, el cliente debe usar esos mecanismos cuando sea necesario. | Descripción de las medidas que los servicios Microsoft toman para proteger los datos en tránsito (incluido el cifrado de los datos) y cómo estos servicios protegen los datos que pueden contener datos personales cuando pasan a través de redes públicas de datos (incluida cualquier medida de cifrado). -Cifrado en Microsoft Cloud [17], ver Encryption of customer data in transit (Cifrado de datos de clientes en tránsito) - 6.11.1 Proteger los servicios de aplicaciones en redes públicas en el Administrador de cumplimiento |
(5)(1)(f), (32)(1)(a) |
Proteger los principios de ingeniería del sistema (6.11.2) | A la hora de proteger los datos personales, el cliente debe comprender cómo se han diseñado y ejecutado los sistemas. Cuando un cliente use un sistema diseñado por un tercero, es su responsabilidad asegurarse de que se hayan considerado estas protecciones. | Modo en que los servicios Microsoft contemplan los principios de protección de datos personales como medida obligatoria según nuestros principios de diseño e ingeniería seguros. - Informe de auditoría de SOC 2 Type 2 [11], ver Ciclo de vida del desarrollo de seguridad pp23, CC7.1 pp45 - Proteger los principios de ingeniería del sistema en el Administrador de cumplimiento |
(25)(1) |
Relaciones con los proveedores (6.12) | El cliente debe asegurarse de que en la información de carácter contractual o en cualquier otro tipo de acuerdo se abordan los requisitos de protección de datos personales y de seguridad de la información que sean responsabilidad de un tercero. Los contratos también deben abordar las instrucciones de procesamiento | Modo en que los servicios Microsoft abordan la protección de datos y la seguridad en nuestros contratos con los proveedores y cómo nos aseguramos de que esos contratos se cumplen de manera eficaz. - Quién puede tener acceso a los datos y en qué condiciones [6] - Contratos para subencargados: celebrar un contrato con Microsoft [7] - 6.12 Relaciones con los proveedores en el Administrador de cumplimiento |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
Administración de incidentes de seguridad de la información y mejoras (6.13.1) | El cliente debe disponer de procesos para distinguir cuándo se ha producido una vulneración de datos personales. | Modo en que los servicios Microsoft determinan si un incidente de seguridad es una vulneración de datos personales y cómo comunicamos tal vulneración al usuario. - Office 365 y notificación de incumplimiento según el RGPD [9] - Administración de incidentes de seguridad de la información y mejoras (6.13.1) en el Administrador de cumplimiento |
(33)(2) |
Responsabilidades y procedimientos (durante los incidentes de seguridad de la información) (6.13.2) | El cliente debe comprender y documentar sus responsabilidades durante una vulneración de datos o un incidente de seguridad que implique datos personales. Las responsabilidades pueden incluir la notificación a las partes requeridas, las comunicaciones con procesadores u otros terceros, y las responsabilidades dentro de la organización del cliente. | Modo en que hay que informar a los servicios Microsoft cuando se detecta un incidente de seguridad o una vulneración de datos personales. - Office 365 y notificación de incumplimiento según el RGPD [9] - 6.13.2 Responsabilidades y procedimientos en el Administrador de cumplimiento |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
Respuesta a incidentes de seguridad de la información (6.13.3) | El cliente debe disponer de procesos para distinguir cuándo se ha producido una vulneración de datos personales. | Descripción de la información que los servicios Microsoft facilitan para ayudarle a decidir si se ha producido una violación de datos personales. - Office 365 y notificación de incumplimiento según el RGPD [9] - 6.13.3 Respuesta a incidentes de seguridad de la información en el Administrador de cumplimiento |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
Protección de los registros (6.15.1) | El cliente debe conocer los requisitos de los registros relacionados con el tratamiento de datos personales que deben mantenerse. | Modo en que los servicios Microsoft almacenan los registros relacionados con el tratamiento de datos personales. - Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16] - Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12], ver A.18.1.3 - Office 365, manual de sistemas de administración de la seguridad de la información [14], ver 9 Evaluación del rendimiento |
(5)(2), (24)(2) |
Revisión independiente de seguridad de la información (6.15.2) | El cliente debe conocer los requisitos para evaluar la seguridad del procesamiento de datos personales. Esto puede incluir auditorías internas o externas, u otras medidas para evaluar la seguridad del procesamiento. Si el cliente depende de una organización o un tercero para la totalidad o parte del proceso, entonces debe informarse de las evaluaciones que estos efectúen. | Modo en que los servicios Microsoft prueban y evalúan la eficacia de las medidas técnicas y organizativas de cara a garantizar la seguridad del procesamiento, incluida cualquier auditoría realizada por terceros. - Términos de Microsoft Online Services, términos de la protección de datos, ver Seguridad de datos, Auditoría de cumplimiento [1] - Office 365, manual de sistemas de administración de la seguridad de la información [14], ver 9 Evaluación del rendimiento - 6.15.2 Revisión independiente de la información en el Administrador de cumplimiento |
(32)(1)(d), (32)(2) |
Revisión de cumplimiento técnico (6.15.3) | El cliente debe comprender los requisitos para probar y evaluar la seguridad del procesamiento de datos personales. Esto puede incluir pruebas técnicas como pruebas de penetración. Si el cliente usa un sistema o procesador de terceros, estos deben comprender las responsabilidades que tienen de proteger y evaluar la seguridad (por ejemplo, administrar las configuraciones de protección de datos y evaluar estas configuraciones). Si el tercero es responsable de la totalidad o de una parte de la seguridad del procesamiento, el cliente debe comprender qué pruebas o evaluaciones realiza el tercero para asegurar la seguridad del procesamiento. | Modo en que servicios Microsoft se prueban en función de los riesgos identificados, lo que incluye las pruebas de terceros, así como los tipos de pruebas técnicas y los informes disponibles en las pruebas de seguridad. - Términos de Microsoft Online Services, términos de la protección de datos, ver Seguridad de datos, Auditoría de cumplimiento [1] - Para obtener una lista de certificaciones externas, vea Ofertas de cumplimiento del Centro de confianza de Microsoft [13] - Para más información sobre las pruebas de penetración de las aplicaciones, vea Plan de seguridad de sistema (SSP) FedRAMP de nivel moderado [3], CA-8 Pruebas de penetración (M) (H) pp204 - 6.15.3 Revisión de cumplimiento técnico en el Administrador |
(32)(1)(d), (32)(2) |