Solicitudes de Intune Data Subject para GDPR y CCPA
El Reglamento general de protección de datos (RGPD) de la Unión Europea otorga derechos a los usuarios (conocidos en el Reglamento como interesados) para administrar los datos personales recogidos por un empresario u otro tipo de agencia u organización (conocido como responsable de los datos o simplemente responsable). Los datos personales se definen ampliamente en el RGPD como cualquier dato que guarde relación con una persona física identificada o identificable. El RGPD ofrece a los interesados derechos específicos sobre sus datos personales, como la obtención de copias de ellos, la solicitud de modificaciones, la restricción de tratamiento, la eliminación o la recepción en un formato electrónico que permita su transferencia a otro responsable. Una solicitud formal de un interesado a un responsable para que realice una acción sobre sus datos personales se denomina Solicitud del interesado o DSR.
De manera similar, la Ley de privacidad del consumidor de California (CCPA por sus siglas en inglés), establece derechos y obligaciones de privacidad para los consumidores de California, incluyendo derechos similares a los derechos de las solicitudes del interesado del RGPD, como el derecho a borrar, acceder y recibir (portabilidad) su información personal. La CCPA también prevé casos de divulgación de información, protecciones contra la discriminación en el ejercicio de derechos y requisitos de "cancelación/suscripción" para ciertas transferencias de datos clasificadas como "ventas". Las ventas se definen de forma amplia para incluir el uso compartido de datos con ánimo de lucro. Para obtener más información sobre la CCPA, consulte la Ley de Privacidad de los Consumidores California y las Preguntas más frecuentes sobre la privacidad del consumidor de California.
Guía sobre cómo usar los productos, servicios y herramientas administrativas de Microsoft para ayudar a nuestros clientes poseedores de datos a encontrar y actuar en datos personales con el fin de responder a las solicitudes de derechos del titular de los datos. En concreto, esta guía incluye cómo encontrar datos personales o información personal que residen en la nube de Microsoft, obtener acceso a los mismos y actuar sobre ellos. Este es un breve resumen de los procesos descritos en esta guía:
- Búsqueda: use herramientas de búsqueda y detección para encontrar más fácilmente los datos personales que pueden ser objeto de una solicitud de DSR. Una vez recopilados los documentos de respuesta, puede realizar una o varias de las acciones de DSR siguientes para responder a la solicitud. También puede determinar que la solicitud no cumple con las directrices de la organización para responder a las solicitudes de sujeto de datos.
- Acceso: recupere datos personales que residan en la nube de Microsoft y, si se le pide, realice una copia para proporcionársela al titular de los datos.
- Rectificación: realice cambios o implemente otras acciones solicitadas en los datos personales, si corresponde.
- Restricción: restrinja el tratamiento de datos personales, ya sea al quitar las licencias de distintos servicios de Azure o al desactivar los servicios que quiera, siempre que sea posible. También puede quitar datos de la nube de Microsoft y conservarlos de manera local o en otra ubicación.
- Eliminación: elimine de forma permanente los datos personales que residen en la nube de Microsoft.
- Exportar o recibir (portabilidad): envíe una copia electrónica (en un formato legible por máquina) de datos o información personal al titular de los datos. La información personal bajo la CCPA es cualquier información relacionada con una persona identificada o identificable. No hay distinción entre los roles privados, públicos o laborales de una persona. La definición del término "información personal" es, a grandes rasgos, similar a la que el RGPD da al término "datos personales". Sin embargo, la CCPA también incluye datos domésticos y familiares. Para obtener más información sobre la CCPA, consulte la Ley de Privacidad de los Consumidores California y las Preguntas más frecuentes sobre la privacidad del consumidor de California.
Cada sección de esta guía describe los procedimientos técnicos que puede realizar una organización responsable de los datos para responder a una solicitud del interesado de datos personales en la nube de Microsoft.
Terminología
En la siguiente lista, se proporcionan definiciones de términos relevantes para esta guía.
- Poseedor: la persona física o jurídica, entidad pública, agencia u organismo que, solo o junto a otras personas, determina los fines y los medios del procesamiento de datos personales; donde los fines y los medios de dicho procesamiento están determinados por la ley de la Unión Europea o de los Estados miembros, el poseedor o los criterios específicos para su designación pueden estar proporcionados por la ley de la Unión Europea o de los Estados miembros.
- Datos personales y titular de los datos: cualquier información sobre una persona física identificada o identificable ("interesado"); una persona física identificable es una que puede identificarse, directa o indirectamente, especialmente en referencia a un identificador, con un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos físicos, fisiológicos, genéticos, mentales, económicos, culturales o de identidad social de esa persona física.
- Procesador: persona física o jurídica, entidad pública, agencia u otro organismo que procesa datos personales en nombre del poseedor.
- Datos de cliente: todos los datos, incluidos todos los archivos de texto, sonido, vídeo o imagen, y software, proporcionados a Microsoft por un cliente o en su representación mediante el uso del servicio empresarial. Datos de cliente incluye (1) información identificable de los usuarios finales (por ejemplo, nombres de usuario e información de contacto en Microsoft Entra ID) y contenido de cliente que un cliente carga o crea en servicios específicos (por ejemplo, el contenido del cliente en una cuenta de Azure Storage, el contenido del cliente de una base de datos de Azure SQL o la imagen de máquina virtual de un cliente en Azure Virtual Machines).
- Registros generados por el sistema: registros y datos relacionados generados por Microsoft que ayudan a Microsoft a proporcionar servicios empresariales a los usuarios. Los registros generados por el sistema contienen principalmente datos pseudonimizados, como identificadores únicos (por lo general, un número generado por el sistema que se usa para ofrecer los servicios empresariales a los usuarios, pero que no puede identificar a un individuo). Los registros generados por el sistema también pueden contener información identificable sobre los usuarios finales, como un nombre de usuario.
Uso de esta guía
Esta guía consta de dos partes:
- Parte 1: responda a las solicitudes de los datos de los clientes: En la parte 1 de esta guía se explica cómo tener acceso a los datos, rectificarlos, restringirlos, eliminarlos y exportarlos desde aplicaciones en las que haya creado datos. En esta sección, se explica cómo ejecutar DSRs en el contenido de los clientes y también la información que puede identificar los usuarios finales.
- Parte 2: Responder a las solicitudes de los sujetos de datos para los registros generados por el sistema: Cuando se utilizan los servicios empresariales de Microsoft, Microsoft genera cierta información, conocida como registros generados por el sistema, con el fin de proporcionar el servicio. En la parte 2 de esta guía se explica cómo tener acceso, eliminar y exportar este tipo de información para Azure.
Descripción de los DSR para Microsoft Entra ID y Microsoft Intune
Al considerar los servicios proporcionados a los clientes empresariales, la ejecución de DSR siempre debe entenderse en el contexto de un inquilino de Microsoft Entra específico. En particular, los DSR siempre se ejecutan dentro de un inquilino Microsoft Entra determinado. Si un usuario participa en varios inquilinos, es importante destacar que un DSR determinado solo se ejecuta en el contexto del inquilino específico en el que se recibió la solicitud. Este contexto es fundamental para comprender, ya que significa que la ejecución de una DSR por parte de un cliente empresarial no afectará a los datos de un cliente empresarial adyacente.
Lo mismo se aplica también a los Microsoft Intune proporcionados a un cliente empresarial: la ejecución de un DSR en una cuenta de Intune asociada a un inquilino de Microsoft Entrasolo pertenecerá a los datos del inquilino. Además, es importante comprender lo siguiente al administrar cuentas de Intune dentro de un inquilino:
- Si un usuario Intune crea una suscripción de Azure, la suscripción se controlará como si fuera un inquilino Microsoft Entra. Por lo tanto, los DSR se limitan dentro del inquilino, como se describió anteriormente.
- Si se elimina una suscripción de Azure creada a través de una cuenta de Intune, no afectará a la cuenta de Intune real. Una vez más, como se indicó anteriormente, los DSR que se ejecutan en la suscripción de Azure se limitan al ámbito del propio inquilino.
Los DSR en una cuenta de Intune, fuera de un inquilino determinado, se ejecutan a través del Panel de privacidad del consumidor. Consulte la Guía de solicitudes del interesado de Windows para obtener más información.
Parte 1: Guía de solicitud de interesado para datos de cliente
Ejecutar solicitudes de interesado en datos de cliente
Microsoft proporciona la capacidad de acceder, eliminar y exportar determinados datos de cliente a través de la Azure Portal y también directamente a través de interfaces de programación de aplicaciones (API) o interfaces de usuario (UI) preexistetivas para servicios específicos (también conocidos como experiencias en el producto). Los detalles relativos a esas experiencias en productos se describen en la documentación de referencia de los servicios respectivos.
Importante
Los servicios de apoyo a los DSR en producto requieren el uso directo de la interfaz de programación de aplicaciones (API) o la interfaz de usuario (UI) del servicio, que describe las operaciones CRUD (crear, leer, actualizar, eliminar) aplicables. Por consiguiente, la ejecución de los DSR dentro de un servicio dado debe hacerse además de la ejecución de un DSR dentro del Azure Portal para completar una solicitud dado el tema de los datos. Por favor, consulte la documentación de referencia de los servicios específicos para obtener más detalles.
Paso 1: Detección
El primer paso para responder a una solicitud de derechos del interesado es buscar los datos de cliente que sean el objeto de la solicitud. Este primer paso, buscar y revisar los datos personales en cuestión, le ayudará a determinar si una DSR cumple los requisitos de su organización para respetar o rechazar un DSR. Por ejemplo, después de encontrar y revisar los datos personales en cuestión, puede determinar que la solicitud no cumple los requisitos de su organización porque al hacerlo puede afectar negativamente a los derechos y libertades de los demás.
Después de encontrar los datos, puede realizar la acción específica para satisfacer la solicitud del interesado. Para obtener más información, consulte los siguientes recursos:
Paso 2: Acceso
Una vez que haya encontrado datos de clientes que contengan datos personales que puedan responder a un DSR, le corresponde a usted y a su organización decidir qué datos proporcionar al sujeto de datos. Puede proporcionarles una copia del documento real, una versión redactada apropiadamente o una captura de pantalla de las partes que ha considerado oportuno compartir. Para cada una de estas respuestas a una solicitud de acceso, tendrá que recuperar una copia del documento u otro elemento que contenga los datos de la respuesta.
Al proporcionar una copia al interesado, deberá quitar o censurar información personal sobre otros interesados, además de la información confidencial.
A continuación se explica cómo obtener una copia de los datos en respuesta a una solicitud de acceso a los datos del interesado.
Microsoft Entra ID
Microsoft ofrece tanto un portal como experiencias de productos que proporcionan al administrador del arrendatario de la empresa la capacidad de gestionar las solicitudes de acceso al DSR. Las peticiones de acceso de interesado permiten acceder a los datos personales del usuario, incluidos (a) información de identificación sobre un usuario final y (b) registros generados por el servicio.
Interfaces específicas del servicio
Microsoft Intune permite encontrar datos de clientes directamente a través de interfaces de usuario (IU) o de interfaces de programación de aplicaciones (API) ya existentes.
Paso 3: Rectificar
Si un interesado le ha pedido que rectifique los datos personales que residen en los datos de su organización, usted y su organización tendrán que determinar si es apropiado aceptar la petición. La rectificación de los datos puede incluir la adopción de medidas como la edición, la redacción o la eliminación de datos personales de un documento u otro tipo o elemento.
Como procesador de datos, Microsoft no ofrece la capacidad de corregir los registros generados por el sistema, ya que refleja actividades fácticas y constituye un registro histórico de eventos dentro de los servicios de Microsoft. Con respecto a Intune, los administradores no pueden actualizar la información específica del dispositivo o de la aplicación. Si un usuario final quiere corregir algún dato personal (por ejemplo, el nombre del dispositivo), debe hacerlo directamente en su dispositivo. Estos cambios se sincronizan la siguiente vez que se conecten a Intune.
Paso 4: Restricción
Los interesados pueden pedir que restrinja el procesamiento de sus datos personales. Proporcionamos tanto Azure Portal como interfaces de programación de aplicaciones (API) o interfaces de usuario (IU) ya existentes. Estas experiencias proporcionan al administrador del arrendatario de la empresa la capacidad de gestionar esos DSR mediante una combinación de exportación y eliminación de datos. Para obtener más información vea, procesamiento de datos personales.
Paso 5: Eliminar
El “derecho a la eliminación” de datos personales de los datos de clientes de una organización es una protección clave en el GDPR. Cuando se quitan datos personales, esto conlleva quitar todos los datos personales y los registros generados por el sistema, salvo la información de registros de auditoría. Para obtener más información, consulte Eliminación de datos personales del usuario final.
Parte 2: Registros generados por el sistema
Los registros de auditoría proporcionan a los administradores de inquilinos un registro de las actividades que generan un cambio en Microsoft Intune. Los registros de auditoría están disponibles para muchas tareas de administración y normalmente permiten crear, actualizar (editar), eliminar y asignar acciones. También se pueden revisar las tareas remotas que generan eventos de auditoría. Estos registros de auditoría pueden contener datos personales de los usuarios cuyos dispositivos estén inscritos en Intune. Los administradores no pueden eliminar los registros de auditoría. Para obtener más información, consulte Auditoría de datos personales.
Notificar sobre los problemas de exportación o eliminación
Si tiene problemas al exportar o eliminar datos de la Azure Portal, vaya a la hoja Ayuda y soporte técnico de Azure Portal y envíe una nueva incidencia en Privacidad de administración > de suscripciones y solicitudes de cumplimiento para la Hoja de privacidad de suscripciones > y Solicitudes de RGPD.