Directivas de transferencia de datos en la administración de riesgos de privacidad
Transferir datos personales supone riesgos, especialmente cuando se transfieren fuera de su organización o se envían entre determinados departamentos o ubicaciones geográficas dentro de la organización. Por ejemplo, si los datos se envían a través de correos electrónicos sin cifrar o a destinatarios no autorizados, es posible que los datos ya no sean seguros. Las actividades de transferencia de datos como estas pueden tener impacto normativo o pueden infringir las prácticas de privacidad de la organización establecidas.
Las directivas de transferencia de datos de Gestión de riesgos de privacidad Microsoft Priva le permiten supervisar las transferencias de datos personales fuera de su organización, así como las transferencias internas entre diferentes departamentos o países o regiones. Cuando se detecta una coincidencia de directiva, puede enviar notificaciones a los usuarios en Microsoft Teams o correos electrónicos con opciones de corrección que incluyen revocar el acceso, conservar o eliminar elementos (consulte los detalles del paso 10 del proceso de creación de directivas).
Nuestro proceso de configuración de directivas facilita la configuración de condiciones de la directiva. Tiene control total sobre los intervalos y la frecuencia de las alertas de los correos electrónicos y sugerencias en el momento en Microsoft Teams que destacan las prácticas de tratamiento de datos seguras por parte de los usuarios.
Hay dos formas de crear una directiva: a partir de una plantilla, que es nuestra opción rápida "predefinida" con la configuración predeterminada; o la opción personalizada , que es un proceso guiado para establecer condiciones, alertas y notificaciones.
Configuración rápida: Usar una plantilla con la configuración predeterminada
La directiva de transferencia de datos predeterminada detecta cuándo se envían datos personales a destinatarios fuera de su organización. Por ejemplo, aparece cuando un usuario de su organización envía un correo electrónico de Exchange a un destinatario externo en los campos Para, CC o CCO .
Siga estos pasos para crear una directiva de transferencia de datos predeterminada:
Inicie sesión en uno de los siguientes portales con las credenciales de una cuenta de administrador de su organización de Microsoft 365:
- Nuevo portal Priva (versión preliminar). Para obtener más información, consulta Obtener información sobre el nuevo portal Priva (versión preliminar).
- portal de cumplimiento Microsoft Purview. Para obtener más información sobre este portal, consulte portal de cumplimiento Microsoft Purview.
Ve a la solución de administración de riesgos de privacidad y selecciona la página Directivas .
Seleccione Crear una directiva.
En el cuadro Transferencias de datos , seleccione Crear.
Un panel flotante contiene detalles de la directiva. Al seleccionar Configuración de vista se mostrará la configuración predeterminada. Puede editar la configuración desde aquí, lo que le llevará al proceso guiado que se describe a continuación. Para seguir creando la directiva con la configuración predeterminada, simplemente escriba un nombre descriptivo y, después, seleccione Crear directiva.
Se creará tu directiva y la encontrarás en la lista de la página Policías . Comienza en modo de prueba para que puedas supervisar el rendimiento antes de activarlo.
Configuración predeterminada de la directiva de transferencia de datos
Una directiva de transferencia de datos creada a partir de la plantilla detectará:
Cuando los datos personales de su organización se transfieren o se comparten con un destinatario o ubicación fuera de la organización.
Cuando se comparten datos personales externamente desde cualquiera de estas ubicaciones de la organización:
- Intercambio. Ejemplo: enviar un correo electrónico que contiene datos personales a una dirección de correo electrónico del destinatario que no pertenece a su organización.
- OneDrive y SharePoint. Ejemplos: enviar un vínculo a un archivo o sitio que contiene datos personales a alguien de fuera de su organización; copiar o mover un archivo a una ubicación de OneDrive o SharePoint que se encuentre fuera de su organización.
- Teams. Ejemplo: enviar un mensaje de chat de Teams que contiene datos personales a un destinatario que no pertenece a su organización.
Tipos de datos basados en los siguientes grupos de clasificación:
- Reglamento general de protección de datos de la UE (RGPD)
- Información de identificación personal de Estados Unidos
- US Patriot Act
- Ley de notificación de infracción de estado de Estados Unidos
- Ley Gramm-Leach-Bliley de EE. UU. (GLBA)
- Ley de portabilidad y responsabilidad de seguros de salud de Estados Unidos (HIPAA)
- Ley de Registros Sanitarios de Australia (HRIP)
- Ley de privacidad de Australia
- Información de identificación personal de Japón
- Protección de la información personal de Japón
Configuración personalizada: proceso de creación de directivas guiada
La opción de directiva personalizada es un proceso guiado para crear una nueva directiva estableciendo condiciones, designando la gravedad y frecuencia de las alertas y activando las notificaciones de correo electrónico de los usuarios.
Complete los pasos siguientes para crear una nueva directiva de transferencia de datos:
Inicie sesión en uno de los siguientes portales con las credenciales de una cuenta de administrador de su organización de Microsoft 365:
- Nuevo portal Priva (versión preliminar). Para obtener más información, consulta Obtener información sobre el nuevo portal Priva (versión preliminar).
- portal de cumplimiento Microsoft Purview. Para obtener más información sobre este portal, consulte portal de cumplimiento Microsoft Purview.
Ve a la solución de administración de riesgos de privacidad y selecciona la página Directivas .
Seleccione Crear una directiva.
En el cuadro Personalizado , seleccione Crear.
En la página Nombre y tipo , seleccione la plantilla de directiva Transferencias de datos . Escriba un nombre de directiva que le ayude a identificarla fácilmente desde la lista en la página Directivas , escriba una descripción opcional y, después, seleccione Siguiente.
En la página Orígenes de datos, seleccione todos los orígenes de datos de Microsoft 365 que quiera que incluya la directiva. Elija entre cuentas de correo electrónico de Exchange, cuentas de OneDrive, mensajes de canal y chat de Teams y sitios de SharePoint.
En SharePoint, puede designar todos los sitios o sitios específicos. Si selecciona Sitios de SharePoint específicos, puede escribir la dirección URL del sitio en el campo URL. También puede seleccionar +Elegir sitios y, a continuación, en el panel flotante, active la casilla a la izquierda del nombre del sitio que desee seleccionar.
Obtenga más información sobre cómo elegir orígenes de datos. Cuando haya terminado, seleccione Siguiente.
En la página Datos para supervisar , elija el tipo de datos personales que quiere que supervise la directiva. Hay dos opciones:
- Grupos de clasificación: agrupaciones de tipos de información confidencial que se usan para detectar contenido relacionado con datos personales o normativas específicas. Si selecciona esta opción, tendrá que seleccionar +Agregar grupos de clasificación para elegir uno o más grupos de la lista proporcionada.
- Tipos de información confidencial individuales: seleccione esta opción para elegir de una lista de tipos de información confidencial individuales.
Obtenga más información sobre cómo elegir datos para supervisar. Cuando hayas terminado de seleccionar los datos para supervisar, selecciona Siguiente.
En la página Usuarios y grupos , elija a qué usuarios de su organización se aplicará la directiva. Puede seleccionar todos los usuarios individuales y todos Office 365 grupos de distribución, o puede seleccionar usuarios y grupos específicos. Obtenga más información sobre cómo elegir usuarios y grupos. Cuando haya terminado, seleccione Siguiente.
En la página Condiciones , seleccione el tipo de condición de transferencia de datos que detectará la directiva:
- Transferencias externas a la organización: detecta las transferencias de usuarios o grupos dentro de la organización a usuarios externos o invitados externos a la organización.
- Transferencias a través de límites o regiones del país: para esta opción, deberá seleccionar una región del remitente y una región del destinatario. Elige los países o regiones designados en los paneles flotantes que aparecen y, a continuación, selecciona Agregar.
- Transferencias entre usuarios: detecta transferencias en función de los atributos Microsoft Entra de los usuarios, como departamentos, código postal o puestos.
- Transferencias entre grupos de Microsoft 365: detecta las transferencias entre usuarios de dos grupos de Microsoft 365. Esto incluye los buzones de Exchange y los sitios de SharePoint asociados con los grupos.
- Transferencias entre sitios de SharePoint: detecta cuando un elemento que contiene datos personales se ha copiado o movido de un sitio de SharePoint a otro sitio de SharePoint.
En la página Resultados , decida si desea notificar a los usuarios cuando se cumplan las condiciones de la directiva. Puede elegir una o ambas de las siguientes opciones, o bien no elegir ninguna si deja las casillas en blanco:
Cuando el contenido coincida con la condición de la directiva, proporcione recomendaciones y sugerencias sobre la directiva a los usuarios: las sugerencias sobre el tratamiento de datos aparecerán en la instancia de un usuario de Microsoft Teams cuando realicen una acción que coincida con las condiciones de la directiva. Debe proporcionar una dirección URL para el aprendizaje de privacidad que prefiera, que también aparecerá en la sugerencia.
Enviar un correo electrónico de notificación a los usuarios cuando se produce una coincidencia de directiva: los usuarios reciben una notificación por correo electrónico cuando sus acciones coinciden con las condiciones de la directiva. Después de activar la casilla, puede obtener una vista previa y editar el correo electrónico, a continuación, establecer la frecuencia y proporcionar un vínculo a aprendizaje sobre privacidad (más información sobre los correos electrónicos de notificación). Las opciones de corrección de los correos electrónicos dependen del origen de datos:
- Desde SharePoint o OneDrive: las opciones de corrección son Revocar acceso y Mantener.
- Desde Teams: las opciones de corrección son Papelera y Mantener.
- Desde Exchange: la opción de corrección es Mantener.
Cuando haya terminado de definir resultados, seleccione Siguiente.
En la página Alertas , use el botón de alternancia para activar las alertas que verá un administrador en la página Alertas de la sección Directivas de Administración de riesgos de privacidad. Designará la frecuencia con la que se generan las alertas, los umbrales de coincidencias antes de que se generen las alertas y la gravedad de las alertas. Obtenga más información sobre cómo configurar alertas para coincidencias de directivas. Cuando haya terminado, seleccione Siguiente.
En la página Modo , elige en qué modo colocar la directiva: pruébala primero o Activarla inmediatamente. En el modo de prueba, no se enviarán alertas ni notificaciones. Obtenga más información sobre recomendaciones y qué analizar al probar una directiva. Cuando haya terminado, seleccione Siguiente.
En la página Finalizar , revise las opciones. Seleccione Editar debajo de cualquiera de las secciones para ajustar la configuración. Cuando estés satisfecho con la configuración de la directiva, selecciona Enviar para crear la directiva.
Después de unos segundos, verás una confirmación de que la directiva se ha creado. Seleccione Listo en la página de confirmación, lo que le llevará a la página Directivas , donde verá la nueva directiva en la parte superior de la tabla.
Pasos siguientes
Visita las directivas de administración de riesgos de privacidad para obtener más información sobre cómo editar y administrar directivas.