Compartir a través de

Datos, privacidad y seguridad para Microsoft Copilot para Microsoft 365

  • Artículo

Microsoft Copilot para Microsoft 365 es un sofisticado motor de procesamiento y orquestación que proporciona funcionalidades de productividad con tecnología de IA mediante la coordinación de los siguientes componentes:

  • Modelos de lenguaje grandes (LLM)
  • Contenido de Microsoft Graph como correos electrónicos, chats y documentos a los que tiene permiso para acceder.
  • Las aplicaciones de productividad de Microsoft 365 que se usan todos los días, como Word y PowerPoint.

Para obtener información general sobre cómo funcionan en conjunto estos tres componentes, consulte Información general sobre Microsoft Copilot para Microsoft 365. Para obtener vínculos a otro contenido relacionado con Microsoft Copilot para Microsoft 365, consulte la Documentación de Microsoft Copilot para Microsoft 365.

Importante

  • Microsoft Copilot para Microsoft 365 cumple con nuestros compromisos existentes de privacidad, seguridad y cumplimiento con los clientes comerciales de Microsoft 365, incluidos el Reglamento general de protección de datos (RGPD) y el European Union (UE) Data Boundary.
  • Las solicitudes, respuestas y los datos a los que se accede a través de Microsoft Graph no se usan para entrenar modelos LLM fundacionales, incluidos aquellos que usa Microsoft Copilot para Microsoft 365.
  • Microsoft Copilot para Microsoft 365 funciona con varias protecciones, entre las que se incluyen, entre otras, bloquear contenido perjudicial, detectar material protegido y bloquear inyecciones de indicación (ataques de jailbreak).

La información de este artículo está pensada para dar respuesta a las siguientes preguntas:

Nota:

Microsoft Copilot para Microsoft 365 seguirá evolucionando con el tiempo con nuevas funcionalidades. Para mantenerse al día sobre Microsoft Copilot para Microsoft 365 o para formular preguntas, visite la comunidad de Microsoft 365 Copilot en la Comunidad técnica de Microsoft.

¿Cómo usa Microsoft Copilot para Microsoft 365 los datos propietarios de su organización?

Microsoft Copilot para Microsoft 365 proporciona valor al conectar LLM a los datos de la organización. Microsoft Copilot para Microsoft 365 accede al contenido y al contexto a través de Microsoft Graph. Puede generar respuestas a partir de los datos de la organización, como los documentos del usuario, correos electrónicos, calendario, chats, reuniones y contactos. Microsoft Copilot para Microsoft 365 combina este contenido con el contexto de trabajo del usuario, como la reunión en la que está el usuario, los intercambios de correo electrónico que el usuario ha realizado sobre un tema o las conversaciones de chat del usuario de la semana anterior. Microsoft Copilot para Microsoft 365 usa esta combinación de contenido y contexto para ayudar a ofrecer respuestas contextuales precisas y pertinentes.

Importante

Las solicitudes, respuestas y los datos a los que se accede a través de Microsoft Graph no se usan para entrenar modelos LLM fundacionales, incluidos aquellos que usa Microsoft Copilot para Microsoft 365.

Microsoft Copilot para Microsoft 365 solo muestra aquellos datos de la organización a los que los usuarios tienen permiso, como mínimo, de visualización. Es importante que use los modelos de permisos disponibles en los servicios de Microsoft 365, como SharePoint, para garantizar que los usuarios o grupos adecuados tengan el acceso adecuado al contenido adecuado dentro de su organización. Esto incluye los permisos que concede a usuarios ajenos a su organización a través de soluciones de colaboración entre inquilinos, como canales compartidos en Microsoft Teams.

Cuando se escriben consultas con Microsoft Copilot para Microsoft 365, la información contenida en las consultas, los datos que se recuperan y las respuestas generadas permanecen dentro del límite del servicio de Microsoft 365, de acuerdo con nuestros compromisos actuales de privacidad, seguridad y cumplimiento. Microsoft Copilot para Microsoft 365 usa los servicios de Azure OpenAI para el procesamiento, no los servicios disponibles públicamente de OpenAI. Azure OpenAI no almacena en caché contenido de cliente y Copilot modificó las indicaciones de Copilot para Microsoft 365.

Nota:

  • Cuando use complementos para ayudar a Copilot para Microsoft 365 a proporcionar información más relevante, compruebe la declaración de privacidad y los términos de uso del complemento para determinar cómo controlará los datos de su organización. Para obtener información, consulte Extensibilidad de Microsoft Copilot para Microsoft 365.
  • Cuando se usa el complemento de contenido web, Copilot para Microsoft 365 analiza el mensaje del usuario e identifica los términos en los que la creación de bases web mejoraría la calidad de la respuesta. En función de estos términos, Copilot genera una consulta de búsqueda que se envía a la API de Búsqueda de Microsoft Bing para solicitar más información. Para obtener más información, datos, privacidad y seguridad para consultas web en Copilot para Microsoft 365.

La supervisión de uso indebido de Microsoft Copilot para Microsoft 365 se produce en tiempo real, sin proporcionar a Microsoft ningún acceso permanente a los datos de los clientes, ya sea para revisión humana o automatizada. Aunque la moderación del uso indebido, que incluye la revisión humana del contenido, está disponible en Azure OpenAI, los servicios de Microsoft Copilot para Microsoft 365 han optado por no participar en ella. Los datos de Microsoft 365 no se recopilan ni almacenan en Azure OpenAI.

Nota:

Es posible que usemos los comentarios de los clientes, lo cual es opcional, para mejorar Microsoft Copilot para Microsoft 365, al igual que usamos los comentarios de los clientes para mejorar otros servicios de Microsoft 365 y las aplicaciones de productividad de Microsoft 365. Los comentarios no se usan para entrenar los modelos LLM fundacionales que usa Microsoft Copilot para Microsoft 365. Los clientes pueden administrar los comentarios a través de los controles de administración. Para obtener más información, vea Administrar los comentarios de Microsoft para su organización y Proporcionar comentarios sobre Microsoft Copilot para Microsoft 365.

Datos almacenados sobre las interacciones del usuario con Microsoft Copilot para Microsoft 365

Cuando un usuario interactúa con Microsoft Copilot para Microsoft 365 (usando aplicaciones como Word, PowerPoint, Excel, OneNote, Loop o Whiteboard), almacenamos datos sobre estas interacciones. Los datos almacenados incluyen la solicitud del usuario y la respuesta de Copilot, incluidas citas a cualquier información usada para establecer la respuesta de Copilot. Nos referimos a la solicitud del usuario y a la respuesta de Copilot a esa solicitud como el "contenido de las interacciones" y el registro de esas interacciones es el historial de interacciones de Copilot del usuario. Por ejemplo, estos datos almacenados proporcionan a los usuarios un historial de interacciones de Copilot en Microsoft Copilot con chats basados en Graph y reuniones en Microsoft Teams. Estos datos se procesan y almacenan en consonancia con los compromisos contractuales con el resto del contenido de la organización en Microsoft 365. Los datos se cifran mientras se almacenan y no se usan para entrenar modelos LLM fundacionales, incluidos los que usa Microsoft Copilot para Microsoft 365.

Para ver y administrar estos datos almacenados, los administradores pueden usar la búsqueda de contenido o Microsoft Purview. Los administradores también pueden usar Microsoft Purview para establecer directivas de retención para los datos relacionados con las interacciones de chat con Copilot. Para más información, consulte los siguientes artículos:

Para los chats de Microsoft Teams con Copilot, los administradores también pueden usar las API de exportación de Microsoft Teams para ver los datos almacenados.

Eliminar el historial de interacciones de usuario con Microsoft Copilot para Microsoft 365

Los usuarios pueden eliminar su historial de interacciones de Copilot, que incluye sus solicitudes y las respuestas que devuelve Copilot, en el portal Mi cuenta. Para obtener más información, consulte Eliminar el historial de interacciones de Microsoft Copilot.

Microsoft Copilot para Microsoft 365 y el EU Data Boundary

Las llamadas de Microsoft Copilot para Microsoft 365 al LLM se enrutan a los centros de datos más cercanos de la región, pero también pueden llamar a otras regiones donde haya capacidad disponible durante períodos de uso elevado.

Para los usuarios de la Unión Europea (UE), tenemos medidas de seguridad adicionales para cumplir con el Límite de datos de la UE. El tráfico de la UE permanece dentro de Límite de datos de la UE, mientras que el tráfico mundial se puede enviar a la UE y a otras regiones geográficas para el procesamiento de LLM.

Microsoft Copilot para Microsoft 365 y la residencia de datos

Copilot para Microsoft 365 cumple con los compromisos de residencia de datos, como se describe en los Términos del producto y el Anexo de protección de datos de Microsoft. Copilot para Microsoft 365 se agregó como una carga de trabajo cubierta en los compromisos de residencia de datos en los Términos del producto de Microsoft el 1 de marzo de 2024.

Las ofertas de Residencia avanzada de datos (ADR) y Multi-Geo Capabilities de Microsoft incluyen compromisos de residencia de datos para clientes de Copilot para Microsoft 365 a partir del 1 de marzo de 2024. Para los clientes de la UE, Copilot para Microsoft 365 es un servicio de EU Data Boundary. Es posible que las consultas de los clientes fuera de la UE se procesen en EE. UU., la UE u otras regiones.

Extensibilidad de Microsoft Copilot para Microsoft 365

Aunque Microsoft Copilot para Microsoft 365 ya puede usar las aplicaciones y los datos dentro del ecosistema de Microsoft 365, muchas organizaciones siguen dependiendo de diversas herramientas y servicios externos para gestionar el trabajo y la colaboración. Las experiencias de Microsoft Copilot para Microsoft 365 pueden hacer referencia a herramientas y servicios de terceros al responder a la solicitud de un usuario mediante complementos o conectores de Microsoft Graph. Los datos de los conectores de Graph se pueden devolver en las respuestas de Microsoft Copilot para Microsoft 365 si el usuario tiene permiso para acceder a esa información.

Cuando se habilitan los complementos, Microsoft Copilot para Microsoft 365 determina si necesita usar un complemento específico para ayudar a proporcionar una respuesta relevante al usuario. Si se necesita un complemento, Microsoft Copilot para Microsoft 365 genera una consulta de búsqueda para enviar al complemento en nombre del usuario. La consulta se basa en la solicitud del usuario, el historial de interacciones de Copilot y los datos a los que el usuario tiene acceso en Microsoft 365.

En la sección Aplicaciones integradas del Centro de administración de Microsoft 365, los administradores pueden ver los permisos y el acceso a los datos que requiere un complemento, así como los términos de uso y la declaración de privacidad del complemento. Los administradores tienen control total para seleccionar qué complementos se permiten en su organización. Un usuario solo puede acceder a los complementos que su administrador permite y que el usuario ha instalado o tiene asignados. Microsoft Copilot para Microsoft 365 solo usa complementos activados por el usuario.

Nota:

La configuración de directiva que controla el uso de las experiencias conectadas opcionales en las Aplicaciones de Microsoft 365 no se aplica a los complementos.

Para más información, consulte los siguientes artículos:

¿Cómo protege Microsoft Copilot para Microsoft 365 los datos organizativos?

El modelo de permisos dentro del inquilino de Microsoft 365 puede ayudar a garantizar que los datos no se filtren involuntariamente entre usuarios, grupos e inquilinos. Microsoft Copilot para Microsoft 365 presenta solo los datos a los que cada individuo puede acceder mediante los mismos controles subyacentes para el acceso a datos usados en otros servicios de Microsoft 365. El índice semántico respeta el límite de acceso basado en la identidad del usuario para que el proceso de grounding solo tenga acceso al contenido al que el usuario actual está autorizado para acceder. Para obtener más información, consulte la Documentación del servicio y la directiva de privacidad de Microsoft.

Cuando tiene datos cifrados por Microsoft Purview Information Protection, Microsoft Copilot para Microsoft 365 respeta los derechos de uso concedidos al usuario. El cifrado se puede aplicar mediante etiquetas de confidencialidad o mediante permisos restringidos en aplicaciones de Microsoft 365 mediante Information Rights Management (IRM). Para obtener más información sobre el uso de Microsoft Purview con Microsoft Copilot para Microsoft 365, consulte Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa.

Ya implementamos varias formas de protección para ayudar a evitar que los clientes comprometan los servicios y aplicaciones de Microsoft 365 u obtengan acceso no autorizado a otros inquilinos o al propio sistema de Microsoft 365. Aquí hay algunos ejemplos de dichas formas de protección:

  • El aislamiento lógico del contenido de cliente dentro de cada inquilino para los servicios de Microsoft 365 se logra mediante la autorización de Microsoft Entra y el control de acceso basado en roles. Para obtener más información, consulte Controles de aislamiento de Microsoft 365.

  • Microsoft usa una rigurosa seguridad física, un filtrado en segundo plano y una estrategia de cifrado de varias capas para proteger la confidencialidad y la integridad del contenido del cliente.

  • Microsoft 365 usa tecnologías del lado del servicio que cifran el contenido del cliente en reposo y en tránsito, incluidos BitLocker, el cifrado por archivo, la Seguridad de la capa de transporte (TLS) y el protocolo de seguridad de Internet (IPsec). Para obtener detalles específicos sobre el cifrado en Microsoft 365, consulte Cifrado en la nube de Microsoft.

  • Su control sobre los datos se refuerza con el compromiso de Microsoft de cumplir con las leyes de privacidad ampliamente aplicables, como el RGPD, y los estándares de privacidad, como ISO/IEC 27018, el primer código de prácticas internacionales del mundo para la privacidad en la nube.

  • Para el contenido al que se accede a través de complementos de Microsoft Copilot para Microsoft 365, el cifrado puede excluir el acceso mediante programación, lo que limita el acceso del complemento al contenido. Para obtener más información, consulte Configurar los derechos de uso para Azure Information Protection.

Cumplir con los requisitos de cumplimiento normativo

A medida que evolucione la regulación en el espacio de la inteligencia artificial, Microsoft seguirá adaptándose y respondiendo para cumplir los requisitos normativos futuros.

Microsoft Copilot para Microsoft 365 se basa en los compromisos actuales de Microsoft con la seguridad y la privacidad de los datos en la empresa. No hay ningún cambio en estos compromisos. Microsoft Copilot para Microsoft 365 se integra en Microsoft 365 y cumple todos los compromisos de privacidad, seguridad y cumplimiento existentes con los clientes comerciales de Microsoft 365. Para obtener más información, consulte Cumplimiento de Microsoft.

Además de cumplir las normativas, priorizamos un diálogo abierto con nuestros clientes, asociados y autoridades normativas para comprender mejor y abordar las preocupaciones, lo que fomenta un entorno de confianza y cooperación. Reconocemos que la privacidad, la seguridad y la transparencia no son solo características, sino requisitos previos en este panorama controlado por IA en Microsoft.

Información adicional

Microsoft Copilot para Microsoft 365 y configuración de directivas para las experiencias conectadas

Si desactiva las experiencias conectadas que analizan contenido para las Aplicaciones de Microsoft 365 en dispositivos Windows o Mac de su organización, las características de Microsoft Copilot para Microsoft 365 no estarán disponibles para los usuarios en las siguientes aplicaciones:

  • Excel
  • PowerPoint
  • OneNote
  • Word

De forma similar, las características de Microsoft Copilot para Microsoft 365 en esas aplicaciones en dispositivos Windows o Mac no estarán disponibles si desactiva el uso de experiencias conectadas para las Aplicaciones de Microsoft 365.

Para obtener más información acerca de la configuración de directiva, vea los artículos siguientes:

Acerca del contenido que crea Microsoft Copilot para Microsoft 365

No se garantiza que las respuestas que genera la inteligencia artificial generativa sean 100 % reales. Aunque seguimos mejorando las respuestas, los usuarios han de usar su sentido crítico al revisar las respuestas antes de enviarlas a otros usuarios. Las capacidades de Microsoft Copilot para Microsoft 365 proporcionan borradores y resúmenes útiles que ayudan a lograr más resultados y, al mismo tiempo, ofrecen la oportunidad de revisar lo que la IA ha generado en lugar de automatizar completamente estas tareas.

Seguimos mejorando los algoritmos para abordar de forma proactiva los problemas, como la desinformación y la falta de información, el bloqueo de contenido, la seguridad de los datos y la prevención de la promoción de contenido perjudicial o discriminador de acuerdo con nuestros principios de inteligencia artificial responsable.

Microsoft no reclama derechos de propiedad de los resultados del servicio. Dicho esto, no tomamos decisiones sobre si los resultados de un cliente están protegidos por derechos de autor o si dichos derechos deben aplicarse en otros usuarios. Esto se debe a que los sistemas de IA generativa pueden producir respuestas similares en función de solicitudes o consultas similares de diferentes clientes. Por lo tanto, diferentes clientes podrían tener derechos o reclamarlos sobre contenido que es igual o sustancialmente similar.

Si un tercero demanda a un cliente comercial por infracción de derechos de autor por usar Copilot de Microsoft o los resultados que genera, defenderemos al cliente y pagaremos la cantidad por fallos adversos o acuerdos que resulten de la demanda, siempre y cuando el cliente haya usado los filtros de protección y contenido que hemos integrado en nuestros productos. Para obtener más información, consulte Microsoft anuncia el nuevo compromiso sobre los derechos de autor de Copilot para los clientes.

¿Cómo bloquea Copilot el contenido perjudicial?

El servicio Azure OpenAI incluye un sistema de filtrado de contenido que funciona junto con los modelos principales. Los modelos de filtrado de contenido para las categorías Acoso e imparcialidad, Sexual, Violencia y Autoagresión se han entrenado y probado específicamente en varios idiomas. Este sistema funciona mediante la ejecución de una consulta de entrada y su respuesta a través de modelos de clasificación diseñados para identificar y bloquear la salida de contenido perjudicial.

Los daños relacionados con el acoso y la imparcialidad hacen referencia a cualquier contenido que use lenguaje peyorativo o discriminatorio basado en atributos como la raza, la etnicidad, la nacionalidad, la identidad y la expresión de género, la orientación sexual, la religión, la condición de inmigrante, el estado de incapacidad, la apariencia personal y el tamaño del cuerpo. La imparcialidad se ocupa de asegurarse de que los sistemas de IA traten a todos los grupos de personas de forma equitativa sin contribuir a las desigualdades sociales existentes. El contenido sexual implica debates sobre los órganos reproductivos humanos, las relaciones románticas entre los seres humanos, los actos representados en términos eróticos o afectivos, el embarazo, los actos sexuales físicos, incluidos los representados como un acto de violencia sexual, actos sexuales forzados, acoso, prostitución y abuso. La violencia describe el lenguaje relacionado con las acciones físicas destinadas a hacer daño físico o asesinar, incluidas las acciones, las armas y las entidades relacionadas con estas acciones. El lenguaje de autoagresión hace referencia a acciones deliberadas destinadas a dañarse a sí mismo o quitarse la vida.

Obtenga más información sobre el filtrado de contenido de Azure OpenAI.

¿Copilot proporciona detección de material protegido?

Sí, Copilot for Microsoft 365 proporciona detección de materiales protegidos, que incluye texto sujeto a copyright y código sujeto a restricciones de licencia. No todas estas mitigaciones son relevantes para todos los escenarios de Copilot para Microsoft 365.

¿Bloquea Copilot las inserciones de mensajes (ataques de jailbreak)?

Los ataques de jailbreak son mensajes de usuario diseñados para provocar que el modelo de IA generativa se comporte de formas para las que no ha sido entrenado o para romper las reglas que se le han indicado que siga. Microsoft Copilot para Microsoft 365 está diseñado para protegerse frente a ataques por inyección de mensajes. Obtenga más información sobre los ataques de jailbreak y cómo usar Azure AI Content Safety para detectarlos.

Comprometidos con la inteligencia artificial responsable

A medida que la inteligencia artificial se prepara para transformar nuestras vidas, debemos definir colectivamente nuevas reglas, normas y prácticas para el uso y el impacto de esta tecnología. Microsoft ha estado en un recorrido por la inteligencia artificial responsable desde 2017, cuando definimos nuestros principios y enfoque para garantizar que esta tecnología se use de forma que esté controlada por principios éticos que coloquen a las personas en primer lugar.

En Microsoft, nos guían nuestros principios de inteligencia artificial, nuestro estándar de inteligencia artificial responsable y décadas de investigación sobre inteligencia artificial, grounding y el aprendizaje automático que conserva la privacidad. Un equipo multidisciplinario de investigadores, ingenieros y expertos en directivas revisa nuestros sistemas de inteligencia artificial en busca de posibles daños y mitigaciones; refina los datos de entrenamiento; filtra para limitar el contenido perjudicial y los temas confidenciales que bloquean resultados y consultas; y aplica tecnologías de Microsoft como InterpretML y Fairlearn para ayudar a detectar y corregir el sesgo de los datos. Para dejar claro cómo toma las decisiones el sistema, hay que tener en cuenta las limitaciones, el vínculo a los orígenes y pedir a los usuarios que revisen, comprueben los hechos y ajusten el contenido en función de la experiencia en la materia. Para obtener más información, consulte Gobernanza de la inteligencia artificial: un plano técnico para el futuro.

Nuestro objetivo es ayudar a nuestros clientes a usar nuestros productos de inteligencia artificial de forma responsable, compartir nuestros aprendizajes y crear asociaciones basadas en la confianza. Para estos nuevos servicios, queremos proporcionar a nuestros clientes información sobre los usos, las capacidades y las limitaciones previstas de nuestro servicio de plataforma de inteligencia artificial para que tengan los conocimientos necesarios para tomar decisiones de implementación responsables. También compartimos recursos y plantillas con los desarrolladores de las empresas y con proveedores de software independientes (ISV) para ayudarles a crear soluciones de IA eficaces, seguras y transparentes.