Información sobre roles y responsabilidades
Los servicios en línea de Microsoft se basan en un modelo de responsabilidad compartida, en el que una parte de la responsabilidad de la seguridad y la privacidad corresponde al proveedor de servicios en la nube y otra parte pertenece al cliente. La división de responsabilidades entre Microsoft y sus clientes depende del modelo de servicio en uso (infraestructura, plataforma o software como servicio), la forma en que cada cliente configura y usa el servicio, así como las leyes y normativas de privacidad aplicables.
Por ejemplo, los siguientes roles y responsabilidades ilustran las disposiciones del RGPD:
Controlador de datos: El controlador controla los datos personales y determina cómo se usan. Las responsabilidades del controlador incluyen, entre otras, la recopilación, el mantenimiento, la dirección de acciones, la protección, la modificación y la eliminación de datos personales. El controlador agrega usuarios al sistema, concede acceso al sistema y recopila datos de los interesados; o bien tiene empleados que realizan estas tareas en nombre de la empresa. La carga de comprender el proceso de solicitudes de RGPD y llevar a cabo una solicitud de RGPD depende del controlador.
Este rol está cubierto por el cliente de Microsoft.
Procesador de datos: El procesador proporciona servicios al controlador de datos y los procesa en su nombre. El procesador realiza acciones en nombre del controlador. La ayuda del procesador permite que el controlador cumpla con el RGPD, pero no tiene propiedad de los datos y no responde directamente a las solicitudes del interesado ni realiza evaluaciones de impacto en la protección de datos.
Microsoft desempeña este rol. Como procesador de datos, Microsoft implementa controles de seguridad y privacidad para proteger nuestros servicios y ayuda a los responsables de los datos a cumplir sus obligaciones de cumplimiento. Por ejemplo, Microsoft proporciona capacidades de alternancia de administrador para controlar las características de privacidad en sus inquilinos. Además, trabajamos directamente con los administradores de espacios empresariales del cliente y redirigimos las preguntas de los usuarios finales sobre las solicitudes de datos personales del interesado o del servicio.
Un aspecto importante que hay que revisar es lo que queremos decir con la forma en la que habilitamos el cumplimiento. Nuestros clientes a menudo preguntan: "¿Qué significa eso, ¿cumple o no con estas leyes y regulaciones?" Para la mayoría de las regulaciones específicas del sector o geográficas, es posible usar Microsoft servicios en línea de una manera que cumpla con una ley o reglamento. pero Microsoft Online Services no puede garantizar el cumplimiento de un extremo a otro porque Microsoft no analiza el contenido de los datos personales de sus clientes.
Por ejemplo, las organizaciones cubiertas por HIPAA u otros reglamentos deben contar con su propio programa de aprendizaje y seguridad para garantizar que su personal no use los servicios Microsoft para infringir estas normas. Como máximo, Microsoft puede prometer hacer su parte, y, por tanto, permitiremos que un cliente ejecute un programa conforme a la ley.
Para proporcionar un ejemplo, un médico de Estados Unidos puede almacenar la información de salud protegida de los pacientes en nuestro servicio, regulado por HIPAA. Microsoft dispone de controles de seguridad y privacidad para asegurarse de que el personal no pueda acceder de forma inapropiada a esta información del paciente ni revelarla, pero un médico que sea usuario de los servicios puede utilizarlo para enviar información confidencial del paciente a un vendedor. Microsoft enviaría ese mensaje sin saberlo, lo que provocaría que el cliente infrinja la HIPAA. Microsoft consideraría que está siguiendo la indicación de un representante del cliente.
Microsoft cumple con su compromiso de ejecutar y operar sus servicios con prácticas de tecnología, seguridad y privacidad de última generación. Cada cliente y usuario de nuestros servicios tiene la responsabilidad de determinar cómo cumplen con las necesidades y obligaciones específicas.