Evaluaciones de impacto en la protección de datos personales: Guía para poseedores de los datos que usen Dynamics 365

El Reglamento general de protección de datos (RGPD) exige a los responsables de los datos realizar una evaluación del impacto de la protección de datos (EIPD) en el caso de operaciones de tratamiento que tengan "probabilidad de suponer un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente en Dynamics 365 que necesariamente exija al responsable de los datos que use dicho servicio realizar una EIPD. El requisito de llevar a cabo una EIPD dependerá en cambio de los detalles y el contexto de cómo el responsable de los datos implementa, configura y usa Dynamics 365. En cualquier caso, una EIPD debe comenzar al principio de la vida de un proyecto y ejecutarse en paralelo al proceso de planeamiento y desarrollo.

La finalidad de este documento es proporcionar a los poseedores de los datos información sobre Dynamics 365 que les permitirá determinar si se necesita un EIPD y, en ese caso, qué detalles incluir.

Nota:

Microsoft no proporciona asesoría legal en este artículo. Este artículo tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad —o responsables de protección de datos (DPO) cuando se designen— o asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con el uso de Microsoft Azure o cualquier otro servicio en línea de Microsoft.

Parte 1: determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un responsable del tratamiento de datos cree una evaluación de impacto de la protección de datos "[w]here un tipo de procesamiento en particular utilizando nuevas tecnologías, y teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del procesamiento, es probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas". Además, establece factores concretos que indicarían un riesgo tan alto, que se describen en la tabla siguiente: Al determinar si se necesita un DPIA, un controlador de datos debe tener en cuenta estos factores, junto con otros factores pertinentes, a la luz de las implementaciones y usos específicos del controlador de Dynamics 365.

Factor de riesgo Información relevante sobre Dynamics 365
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el procesamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física; Dynamics 365 realiza tareas automatizadas de procesamiento de datos, como la puntuación de clientes potenciales u oportunidades (por ejemplo, para predecir con qué probabilidad puede producirse una venta). Pero no se diseñó para realizar el procesamiento de las decisiones en que se basan y que producen efectos jurídicos o efectos similares importantes en las personas.

Pero, como Dynamics 365 es un servicio altamente personalizable, un poseedor de los datos podría configurarlo para usarlo para tal procesamiento, como la puntuación de decisiones de empleo o solicitudes de crédito.
El procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales; Dynamics 365 no se diseñó para procesar categorías especiales de datos personales.

Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión. Por ejemplo, Dynamics 365 ofrece plantillas del sector de la salud que podrían usarse para procesar datos personales asociados con un estado de salud. Además, Dynamics 365 es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar cualquier tipo de datos personales, incluidas categorías especiales de datos personales. Pero, como el procesador de datos, Microsoft no posee ningún control sobre ese uso y, normalmente, tendría poca información (o ninguna) de dicho uso.
Supervisión sistemática de un área accesible públicamente a gran escala. Dynamics 365 no se diseñó para realizar o facilitar dicha supervisión.

Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión.

Nota:

1 Con respecto a los criterios según los que el tratamiento se realice a "gran escala", el considerando 91 del RGPD aclara que: "el tratamiento de datos personales no debe considerarse a gran escala si se trata de datos personales de pacientes o clientes por parte de un médico, otro profesional sanitario o un abogado En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria".

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una Evaluación de impacto en la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En dicha descripción sistemática podrían incluirse factores como el tipo de los datos procesados, durante cuánto tiempo se conservan, dónde se encuentran y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • Una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;
  • Una evaluación de los riesgos para los derechos y libertades de las personas físicas; Y
  • Las medidas previstas para hacer frente a los riesgos, incluidas las medidas de seguridad, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas interesadas.

La tabla siguiente contiene información sobre Dynamics 365 que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles que se proporcionan a continuación, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de Dynamics 365.

Elementos de un EIPD Información relevante sobre Dynamics 365
Finalidades del procesamiento Las finalidades del procesamiento de los datos con Dynamics 365 las determina el poseedor que lo implementa, configura y usa.

Dynamics 365 es una plataforma en línea para el procesamiento que se compone de varios servicios en línea discretos, cada uno de los cuales tiene distintos propósitos de procesamiento. A continuación se muestran los tipos de servicios que ofrece Dynamics365:

Customer Engagement en su núcleo es un servicio de administración de relaciones con el cliente. Incluye los siguientes servicios en línea: Dynamics 365 for Sales, Dynamics 365 for Marketing, Dynamics 365 for Customer Service, Dynamics 365 for Project Service y Dynamics 365 for Field Service.

Dynamics 365 for Finance and Operations, Enterprise edition (D365FOEE) es un conjunto de aplicaciones de planeamiento de recursos empresariales ofrecido como software como servicio (SaaS) que se proporciona principalmente para la administración de clientes empresariales de ventas, servicios, finanzas y operaciones, fabricación y recursos humanos.

Dynamics 365 for Retail (D365FR) se ofrece como un software como servicio (SaaS) con soluciones de punto de venta integradas localmente para vendedores y distribuidores empresariales.

Dynamics 365 Lifecycle Services (LCS) es un servicio auxiliar en línea, utilizado principalmente por clientes empresariales en el despliegue, la gestión y el mantenimiento de las implementaciones D365FOEE, D365FR del cliente.

Dynamics 365 for Business Central es una oferta de planeamiento de recursos empresariales proporcionada como software como servicio (SaaS) por Microsoft a pequeñas y medianas empresas. El servicio procesa datos personales para proporcionar ayuda con finanzas, fabricación, administración de las relaciones con el cliente, cadenas de suministro, análisis y comercio electrónico.

Dynamics 365 for Talent se ofrece como software como servicio (SaaS) que proporciona administración de recursos humanos a los clientes y consta de los siguientes servicios:

Recursos humanos básicos: un servicio para optimizar las tareas de mantenimiento de registros y automatizar procesos relacionados con la dotación de personal a una organización. Estos procesos incluyen retención de empleados, administración de beneficios, compensación, aprendizaje, revisiones de rendimiento y administración de cambios.

Captación: un servicio para buscar, entrevistar y contratar personal.
Incorporación: un servicio para ayudar a incorporar nuevos empleados a su trabajo*.

Microsoft Social Engagement (MSE) es un servicio auxiliar a Dynamics 365 que se ofrece a los clientes empresariales para (i) habilitar el procesamiento de publicaciones de redes sociales públicas y datos personales publicados por los interesados en un número limitado de medios sociales para ayudarles a analizar e identificar temas de interés (por ejemplo, tendencias) y administrar la presencia corporativa o institucional en estos lugares virtuales (por ejemplo, páginas de fans), incluida la publicación de contenido en medios de comunicación social específicos (escucha); y (ii) interactuar directamente con los interesados a través de comunicaciones privadas en redes sociales (interacción).

En su capacidad de procesador que opera los servicios descritos anteriormente, Dynamics 365 procesa datos personales únicamente para ofrecer a los clientes sus servicios en línea descritos anteriormente, incluidas las finalidades compatibles con la prestación de esos servicios, como la personalización, seguridad, prevención contra fraude y malware, solución de problemas y mejoras.

Según lo especificado por los Términos de productoy el Complemento de protección de datos de productos y servicios (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente los Servicios en línea de acuerdo con las instrucciones documentadas del Cliente.

Como se detalla en el anexo estándar de protección de datos de productos y productos y servicios (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones comerciales legítimas que constan de: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, calcular las comisiones de los empleados y los incentivos de asociados); (3) informes internos y modelado (por ejemplo, previsión, ingresos, planeamiento de capacidad, estrategia de producto); (4) la lucha contra el fraude, la ciberdelincuencia o los ciberataques que puedan afectar a Microsoft o a los Productos de Microsoft; (5) mejorar la funcionalidad básica de accesibilidad, privacidad o eficiencia energética; y (6) informes financieros y cumplimiento de obligaciones legales (sujeto a las limitaciones de divulgación de datos de cliente descritos en los Términos de servicio en línea).

Microsoft es el controlador del procesamiento de datos personales para apoyar estas operaciones comerciales legítimas específicas. Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas, eliminando la capacidad de Microsoft de identificar a personas específicas, y utiliza los datos personales en la forma menos identificable que permita el procesamiento necesario para las operaciones comerciales legítimas.

Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares.
Categorías de datos personales procesados Datos de cliente: se trata de todos los datos, incluidos los archivos de texto, sonido, vídeo o imagen y el software, que los clientes proporcionan a Microsoft o que se proporcionan en nombre de los clientes mediante el uso de los servicios en línea de Microsoft. Se incluyen los datos que los clientes cargan para su almacenamiento o procesamiento, así como las personalizaciones. Algunos ejemplos de datos de clientes procesados en Office 365 incluyen contenido de correo electrónico en Exchange Online y documentos o archivos almacenados en SharePoint Online o OneDrive para la Empresa.

Datos generados por el servicio: se trata de datos generados o derivados por Microsoft a través del funcionamiento del servicio, como los datos de uso o de rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft.

Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) con una interacción con Microsoft para obtener soporte técnico para los servicios en línea.

En los datos de clientes, los datos de registro generados por el sistema y los datos de soporte técnico, no se incluyen los datos del administrador ni de facturación, como la información de contacto del administrador de clientes, información sobre suscripciones y datos de pagos, que Microsoft recopila y procesa en calidad de controlador de datos y que están fuera del alcance de este documento.
Retención de datos Microsoft conservará los datos del cliente mientras dure el derecho del cliente a usar el servicio y hasta que se eliminen o devuelvan todos los datos del cliente de acuerdo con las instrucciones del cliente o los términos de las Condiciones de los servicios en línea. En todo momento durante la vigencia de la suscripción del cliente, éste tendrá la posibilidad de acceder y extraer los datos del cliente almacenados en el servicio. Microsoft conservará los datos del cliente almacenados en el Servicio en línea en una cuenta de función limitada durante 90 días después de la expiración o finalización de la suscripción del cliente para que éste pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft desactivará la cuenta del cliente y eliminará los datos del mismo.

El cliente puede borrar sus datos como cliente y los datos de seudónimos en cualquier momento usando las capacidades descritas en la sección de laGuía de derechos de los titulares de datos de Dynamics.
Ubicación y transferencias de datos personales Si el cliente aprovisiona su instancia de Dynamics 365 Core Services en Australia, Canadá, la Unión Europea, India, Japón, Reino Unido o Estados Unidos, Microsoft almacenará los datos de clientes en reposo en el área geográfica especificada, sujeto a determinadas excepciones especificadas en los Términos de Online Services. En el Centro de confianza, encontrará información detallada sobre el almacenamiento de datos de clientes.

En el caso de los datos personales procedentes del Espacio económico europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los propósitos Dicha evaluación dependerá de las necesidades y propósitos de procesamiento del controlador.

En su capacidad de procesador, Microsoft ofrece D365 para procesar datos personales solo para proporcionar a los clientes sus servicios en línea, incluidos los propósitos compatibles con la prestación de esos servicios, como la personalización al cliente, la seguridad, el fraude y la prevención de malware, la solución de problemas y la mejora. Microsoft procesa los datos en nombre del cliente (inquilino) según sea necesario para proporcionar el servicio solicitado, tal como se establece en nuestros Términos de producto.
Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos Los riesgos más importantes para los derechos y libertades de los titulares de los datos derivados del uso de Dynamics 365 dependerán de cómo y en qué contexto el poseedor de los datos lo implemente, configure y use.

Microsoft toma medidas como la anonimización o agregación de los datos personales utilizados por Microsoft para apoyar las operaciones comerciales legítimas con el fin de respaldar la prestación de los servicios, minimizando el riesgo de dicho procesamiento para los titulares de los datos que utilizan el servicio.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. A continuación se describen las medidas que Microsoft toma para abordar estos riesgos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como nuestros sub procesadores para apoyar funciones como el soporte técnico y al cliente, el mantenimiento del servicio y otras operaciones. Los subcontratistas a los que Microsoft transfiera datos de clientes, datos de soporte técnico o datos personales habrán celebrado acuerdos por escrito con Microsoft que no son menos protectores que los Términos de protección de datos de los Términos de servicios en línea. Todos los sub procesadores de terceros con los que se comparten datos de clientes de los servicios centrales en línea de Microsoft están incluidos en la lista de sub contratistas de servicios en línea. Todos los sub procesadores de terceros que pueden acceder a los datos de soporte técnico (incluidos los datos de clientes que ellos deciden compartir durante sus interacciones de soporte técnico) están incluidos en la lista de contratistas de soporte técnico comercial de Microsoft.
Derechos del titular de los datos (DSR) Al operar como procesador, Microsoft pone a disposición de los clientes (responsables del tratamiento de datos) los datos personales de sus titulares y la capacidad de cumplir las solicitudes de los titulares de los datos cuando éstos ejercen sus derechos en virtud de la GDPR. Lo hacemos de forma coherente con la funcionalidad del producto y nuestro papel como procesador.    Si recibimos una solicitud de los titulares de los datos del cliente para ejercer uno o más de sus derechos en virtud de la GDPR, redirigimos al titular de los datos para que haga su solicitud directamente al controlador de los datos. Las solicitudes de los titulares de datos de Dynamics 365 para la GDPR y la CCPA proporcionan una descripción al controlador de datos sobre cómo apoyar los derechos de los titulares de datos utilizando las capacidades de Dynamics 365.

Las solicitudes de un interesado para ejercer derechos en virtud del RGPD para los datos personales procesados para respaldar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft.

Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas y no está en condiciones de identificar los datos personales de un individuo específico en el agregado. Esto reduce significativamente el riesgo para la privacidad del individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete en ayudar a proteger la seguridad de la información del cliente. De conformidad con las disposiciones del artículo 32 del RGPD, Microsoft implementó y mantendrá y seguirá las medidas técnicas y organizativas adecuadas cuya finalidad es proteger los datos de clientes y los datos de soporte técnico frente al acceso, divulgación, modificación, pérdida o destrucción, ya sean accidentales, no autorizados o ilícitos.

Para obtener una lista detallada de los controles administrados por Microsoft (controles de procesos empresariales y técnicos) para la seguridad implementada por Dynamics 365, visite el Portal de confianza de servicios. Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como proporcionar evaluaciones de impacto en la protección de datos personales y una conservación de registros precisa.

Cuando Microsoft procesa datos personales para sus operaciones comerciales legítimas, cumple con las obligaciones de la GDPR que se aplican a los controladores de datos.

Más información