Evaluaciones de impacto en la protección de datos: Guía para controladores de datos que usan Microsoft Office 365
Según el Reglamento General de Protección de Datos (RGPD), los responsables de los datos deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Microsoft Office 365 que requiera necesariamente la creación de un DPIA por parte de un controlador de datos que lo use. En su lugar, si se requiere un DPIA dependerá de los detalles y el contexto de cómo, como controlador de datos, implemente, configure y use Office 365.
La parte 1 de este documento proporciona información sobre Office 365 para ayudarle, como controlador de datos, a determinar si se necesita una EIPD. Si la respuesta es afirmativa, las partes 2 y 3 de este documento proporcionan información clave de Microsoft que puede ayudarle a redactar un borrador. En concreto, en la segunda parte se proporcionan respuestas aplicables a todos los servicios de Office 365 para cada uno de los elementos necesarios de un EIPD. La parte 3 proporciona información adicional específica del producto para una serie de las necesidades de información más relevantes de nuestros clientes con el fin de redactar el borrador de sus propias EIPD. La parte 3 también incluye un documento de EIPD ilustrativo que puede descargar y modificar para facilitar la redacción de la EIPD.
Las aplicaciones y servicios de Office 365 incluyen, entre otros, Exchange Online, SharePoint, OneDrive para el trabajo y la escuela, Viva Engage y Microsoft Teams. Puede ver una lista de los servicios disponibles a través de Office 365 en las tablas 1 y 2 de la Guía de solicitudes del interesado de Office 365.
Parte 1: Determinar si se necesita una EIPD
El artículo 35 del RGPD exige a los responsables de los datos realizar una evaluación del impacto de la protección de datos (EIPD) 'en casos en los que, teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento en cuestión, sea probable que un tipo de tratamiento en particular que emplee nuevas tecnologías suponga un alto riesgo para los derechos y libertades de las personas físicas'. Además, el artículo define los factores específicos que pueden suponer un riesgo alto. En la tabla siguiente se tratan dichos factores. Para determinar si es necesario realizar una EIPD, los responsables de los datos deben tener en cuenta estos factores, junto con cualquier otro factor relevante, en función de cómo implemente y use cada responsable el servicio de tratamiento de datos para Office 365.
| Factor de riesgo | Información relevante acerca de Office 365 |
|---|---|
| Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles. Asimismo, sobre la base de esta evaluación, se basan decisiones que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. | En función de la configuración del controlador de datos, Office 365 puede realizar cierto procesamiento automatizado de datos, como el análisis realizado por Viva Personal Insights que permite al controlador de datos obtener información sobre cómo colaboran las personas dentro de una organización en función de la información de encabezado de correo electrónico y calendario de los buzones de correo del usuario. Office 365 no está diseñado para realizar tratamientos automatizados como base para decisiones con efectos legales o igual de significativos en los usuarios. Pero, dado que Office 365 es un servicio muy personalizable, un controlador de datos podría potencialmente usarlo para dicho tratamiento. |
| El procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales | Office 365 no está diseñado para procesar categorías especiales de datos personales a gran escala. Sin embargo, un poseedor de datos podría usar Office 365 para procesar las categorías de datos especiales enumeradas. Office 365 es un servicio altamente personalizable que permite al cliente realizar un seguimiento de cualquier tipo de datos o procesarlos, incluidas categorías especiales de datos personales. Cualquier uso de este tipo es relevante para que un controlador determine si es necesaria una DPIA. Pero, como el procesador de datos, Microsoft no posee ningún control sobre ese uso y, normalmente, tendría poca información (o ninguna) de dicho uso. |
| Supervisión sistemática de un área accesible públicamente a gran escala. | Office 365 no se diseñó para realizar o facilitar dicha supervisión. Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión. |
Nota:
1 Con respecto al criterio de que el procesamiento sea a "gran escala", el considerando 91 de la GDPR lo aclara: "El tratamiento de datos personales no debe considerarse a gran escala si se trata de datos personales de pacientes o clientes por parte de un médico, otro profesional de la salud o un abogado. En esos casos, la evaluación del impacto de la protección de datos no debería ser obligatoria".
Parte 2: Contenido de una EIPD
El artículo 35 (7) del RGPD exige que una Evaluación de impacto en la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En las DPIA de Microsoft, esa descripción sistemática incluye factores tales como los tipos de datos procesados, el tiempo de retención de los datos, el lugar en que se localizan y transfieren los datos y los terceros que pueden tener acceso a ellos. Además, en la EIPD tiene que incluirse lo siguiente:
- una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
- una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
- las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el Reglamento general de protección de datos, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.
En la tabla siguiente se proporciona información clave de Microsoft que puede ayudarle con el borrador de la EIPD. Contiene información sobre Office 365 que es relevante para cada uno de los elementos necesarios de una EIPD. Como en la parte 1, los controladores de datos deben tener en cuenta la información facilitada a continuación, junto con los detalles de sus propios usos e implementaciones específicos de Office 365.
| Factores de riesgo | Información relevante acerca de Office 365 |
|---|---|
| Finalidades del tratamiento | Las finalidades del tratamiento de datos con Office 365 las determina el controlador que lo implementa, configura y usa. Según lo especificado por los Términos del producto y el Complemento de protección de datos de productos y servicios de Microsoft (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente los Servicios en línea de acuerdo con las instrucciones documentadas del cliente. Como se detalla en los Términos de producto estándar y el Anexo de protección de datos de productos y servicios de Microsoft (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones comerciales legítimas que constan de: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, calcular las comisiones de los empleados y los incentivos de asociados); (3) informes internos y modelado (por ejemplo, previsión, ingresos, planeamiento de capacidad, estrategia de producto); (4) informes financieros y cumplimiento de obligaciones legales (sujeto a las limitaciones de divulgación de los datos del cliente descritos en los Términos del producto y el Anexo de protección de datos). Microsoft acepta la obligación de un responsable del procesamiento de datos personales para respaldar estas operaciones comerciales legítimas específicas. Microsoft agrega datos personales antes de usarlos para nuestras operaciones empresariales legítimas, lo que elimina la capacidad de Microsoft de identificar individuos específicos y usa datos personales en la forma menos identificable que admitirá el procesamiento necesario para operaciones empresariales legítimas. Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares. |
| Categorías de datos personales procesados |
Datos de cliente: Estos son todos los datos, incluidos los archivos de texto, sonido, vídeo o imagen y el software, que los clientes proporcionan a Microsoft o que se proporcionan en nombre de los clientes mediante el uso de los servicios en línea de Microsoft. Se incluyen los datos que los clientes cargan para su almacenamiento o procesamiento, así como las personalizaciones. Los ejemplos de datos de cliente procesados en Office 365 incluyen contenido de correo electrónico en Exchange Online y documentos o archivos almacenados en SharePoint o OneDrive para el trabajo y la escuela. Datos generados por servicios: Se trata de datos generados o derivados por Microsoft a través del funcionamiento del servicio, como los datos de uso o de rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft. Datos de diagnóstico: Estos datos son recopilados u obtenidos por Microsoft a partir de software instalado localmente por el cliente en relación con el Servicio en línea y también puede denominarse telemetría. Estos datos se identifican comúnmente por los atributos del software instalado localmente o la máquina que ejecuta ese software. Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) con una interacción con Microsoft para obtener soporte técnico para los servicios en línea. En los datos de clientes, los datos de registro generados por el sistema y los datos de soporte técnico, no se incluyen los datos del administrador ni de facturación, como la información de contacto del administrador de clientes, información sobre suscripciones y datos de pagos, que Microsoft recopila y procesa en calidad de controlador de datos y que están fuera del alcance de este documento. |
| Retención de datos |
Datos del cliente: Como se establece en los Términos de protección de datos en los Términos del producto y el Complemento de protección de datos, Microsoft conserva los datos del cliente mientras dure el derecho del cliente a usar el servicio y hasta que todos los datos del cliente se eliminen o devuelvan de acuerdo con las instrucciones del cliente o los términos de los Términos del producto y el Complemento de protección de datos. En todo momento durante el término de la suscripción del cliente, el cliente tiene la capacidad de acceder, extraer y eliminar datos de cliente almacenados en el servicio, sujeto en algunos casos a una funcionalidad específica del producto destinada a mitigar el riesgo de eliminación involuntaria (por ejemplo, carpeta de elementos recuperados de Exchange), como se describe más adelante en la documentación del producto. Excepto en el caso de las pruebas gratuitas y los servicios LinkedIn, Microsoft conservará los datos del cliente almacenados en el Servicio en línea en una cuenta de función limitada durante 90 días tras el vencimiento o la finalización de la suscripción del cliente para que éste pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft desactivará la cuenta del cliente y eliminará los datos del mismo. Datos de registro generados por el sistema: esos datos se conservan durante un período de hasta 180 días a partir de su recopilación, con sujeción a períodos de retención más prolongados cuando así lo exija la seguridad de los servicios o el cumplimiento de obligaciones legales o reglamentarias. Para obtener más información sobre la capacidad de servicio que permite a los clientes eliminar los datos personales que se mantienen en el servicio en cualquier momento, vea la Guía de Solicitudes de los interesados de Office 365. |
| Ubicación y transferencias de datos personales | Como se describe en el Anexo 1 de los Términos del producto, si el cliente aprovisiona su instancia de Office 365 en Australia, Canadá, la Unión Europea, Francia, India, Japón, Corea del Sur, Reino Unido o Estados Unidos, Microsoft almacena los siguientes datos de cliente en reposo solo dentro de esa ubicación: (1) contenido de buzón de Exchange Online (cuerpo del correo electrónico, entradas de calendario, y el contenido de los datos adjuntos de correo electrónico, (2) el contenido del sitio de SharePoint y los archivos almacenados en ese sitio, (3) archivos cargados en OneDrive para el trabajo y la escuela, y (4) el contenido del proyecto cargado en Project Online. En el caso de los datos personales transferidos fuera del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las medidas de seguridad adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft en virtud de las cláusulas contractuales estándar para procesadores y otros contratos modelo, Microsoft cumple los términos del Marco de privacidad de datos. |
| Uso compartido de datos con subprocesadores terceros | Microsoft comparte datos con terceros que actúan como nuestros sub procesadores para apoyar funciones como el soporte técnico y al cliente, el mantenimiento del servicio y otras operaciones. Los subcontratistas a los que Microsoft transfiere datos de cliente, datos de soporte técnico o datos personales habrán celebrado contratos por escrito con Microsoft que no sean menos protectores que los Términos de protección de datos de los Términos del producto. Todos los subprocesadores de terceros con los que se comparten los datos de cliente de Los servicios en línea principales de Microsoft se incluyen en la divulgación del subprocesador de Servicios en línea. Todos los sub procesadores de terceros que pueden acceder a los datos de apoyo (incluidos los datos de los clientes que éstos decidan compartir durante sus interacciones de apoyo) están incluidos en la lista contratistas de soporte técnico de Microsoft. |
| Uso compartido de datos con terceros independientes | Algunos productos de Office 365 incluyen opciones de extensibilidad que permiten, a elección del controlador, compartir datos con terceros independientes. Por ejemplo, Exchange Online es una plataforma extensible que permite que los complementos o conectores de terceros se integren con Outlook y amplíen los conjuntos de características de este último. Estos proveedores de terceros de complementos o conectores actúan independientemente de Microsoft, y sus complementos o conectores deben estar habilitados por los usuarios o administradores empresariales, que se autentican con su cuenta de complemento o conector. Microsoft no revelará datos de cliente ni datos de soporte técnico a la aplicación de la ley a menos que lo exija la ley. Si el cumplimiento de la ley se pone en contacto con Microsoft con una demanda de datos de cliente o datos de soporte técnico, Microsoft intentará redirigir a la agencia de cumplimiento de la ley para solicitar esos datos directamente al cliente. Si se ve obligado a revelar datos de cliente o datos de soporte técnico a las fuerzas del orden, Microsoft notificará rápidamente al Cliente y proporcionará una copia de la demanda a menos que se prohíba legalmente hacerlo. Tras recibir cualquier otra solicitud de terceros para datos de cliente o datos de soporte técnico, Microsoft notificará rápidamente al Cliente a menos que la ley lo prohíba. Microsoft rechazará la solicitud a menos que la ley lo exija. Si la solicitud es válida, Microsoft intentará redirigir al tercero para que solicite los datos directamente al cliente. |
| Derechos del sujeto de datos | Al operar como procesador, Microsoft pone a disposición de los clientes (responsables del tratamiento de datos) los datos personales de sus titulares y la capacidad de cumplir las solicitudes de los titulares de los datos cuando éstos ejercen sus derechos en virtud de la GDPR. Lo hacemos de forma coherente con la funcionalidad del producto y nuestro papel como procesador. Si recibimos una solicitud de los titulares de los datos del cliente para ejercer uno o más de sus derechos en virtud de la GDPR, redirigimos al titular de los datos para que haga su solicitud directamente al controlador de los datos. En la Guía de Solicitudes de los interesados de Office 365, se proporciona una descripción para el controlador de datos sobre cómo admitir los derechos de los sujetos de datos con las funciones presentes en Office 365. Las solicitudes de un interesado para ejercer derechos en virtud del RGPD para los datos personales procesados para respaldar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft. Por lo general, Microsoft agrega personal antes de usarlo para nuestras operaciones empresariales legítimas y no está en condiciones de identificar los datos personales de una persona específica en el agregado. Esto reduce significativamente el riesgo para la privacidad del individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento. |
| Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los propósitos | Dicha evaluación depende de las necesidades y propósitos del tratamiento del controlador. En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos. |
| Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos | Los riesgos clave para los derechos y libertades de los sujetos de datos derivados del uso de Office 365 dependerán de cómo y en qué contexto el controlador de datos lo implemente, configure y use. Microsoft toma medidas como la anonimización o agregación de los datos personales utilizados por Microsoft para apoyar las operaciones comerciales legítimas con el fin de respaldar la prestación de los servicios, minimizando el riesgo de dicho procesamiento para los titulares de los datos que utilizan el servicio. Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. Las medidas que toma Microsoft para abordar dichos riesgos se analizan en las siguientes secciones. |
| Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. | Microsoft se compromete en ayudar a proteger la seguridad de la información del cliente. De conformidad con las disposiciones del artículo 32 del RGPD, Microsoft implementó y mantendrá y seguirá las medidas técnicas y organizativas adecuadas cuya finalidad es proteger los datos de clientes y los datos de soporte técnico frente al acceso, divulgación, modificación, pérdida o destrucción, ya sean accidentales, no autorizados o ilícitos. Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros. Cuando Microsoft procesa datos personales para sus operaciones comerciales legítimas, cumple con las obligaciones de la GDPR que se aplican a los controladores de datos. |
Parte 3: Las EIPD son difíciles, pero esto puede resultar útil
Si ha determinado que la organización necesita redactar una EIPD, la información de esta sección se ha diseñado para facilitar el proceso.
Esta sección:
- ofrece información específica de Office 365 y sobre el producto, contiene elementos de servicio relevantes y
- le proporciona una plantilla de modelo en blanco de EIPD que puede descargar, modificar y utilizar para redactar sus propias EIPD.
Matriz de elementos de servicio de EIPD
La Matriz de elementos de servicio de la EIPD es una organización de contenido que puede resultarle útil al iniciar el proceso de documentación de su EIPD. Está organizada por servicio y proporciona información específica del producto y enlaces a documentación que pueden ayudarle a redactar respuestas dinámicas a los elementos requeridos de la EIPD más fácilmente.
Documentos EIPD personalizables
Sabemos que la redacción de una EIPD puede ser un esfuerzo que requiere mucho tiempo. Aunque las EIPD de cada cliente serán diferentes según la forma en que cada organización configure y use Office 365, el siguiente documento puede ahorrarle tiempo. Puede descargar el Documento de EIPD personalizable como una plantilla ilustrativa modificable para comenzar rápidamente. Es gratis para usarlo y adaptarlo a su implementación específica del servicio. Este documento no debe interpretarse como asesoramiento legal proporcionado por Microsoft o cualquiera de sus filiales. Si tiene alguna pregunta sobre el proceso de redacción de la EIPD, le recomendamos que consulte con su abogado.