Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El reglamento general de protección de datos (RGPD), añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. Puede encontrar más detalles en el artículo resumen del RGPD. Este documento le guiará por la información relativa a la Evaluación de Impacto de Protección de Datos (EIPD) de conformidad con el RGPD al utilizar productos y servicios de Microsoft.
Para ver las definiciones de terminología del RGPD, consulte Reglamento general de protección de datos.
Nota:
Microsoft no proporciona ningún asesoramiento legal en este documento. Este documento tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad y su asesor legal para determinar la necesidad y el contenido de los DPIA relacionados con su uso de productos y servicios de Microsoft.
¿Qué es una EIPD?
El Reglamento General de Protección de Datos (RGPD) exige a los controladores de datos que elaboren una evaluación de impacto de la protección de datos (EIPD) para las operaciones que sea "probable que resulten en un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a los productos y servicios de Microsoft que necesiten la creación de un DPIA. Sin embargo, dado que los productos y servicios de Microsoft son muy personalizables, es posible que se necesite una EIPD en función de las características de su configuración de Microsoft. Microsoft no controla esta información y tiene muy poco o ningún conocimiento sobre ella. Usted, como controlador de los datos, debe determinar los usos adecuados de sus datos.
La EIPD en acción
Las instrucciones de DPIA se aplican a Office 365, Microsoft Azure, Microsoft Dynamics 365 y Soporte técnico de Microsoft y Professional Services. Esta guía presenta incluye consideraciones sobre:
¿Cuándo se necesita una EIPD?
El artículo 35 del RGPD requiere que un responsable del tratamiento de datos cree una evaluación de impacto de la protección de datos "[w]here un tipo de procesamiento en particular usando nuevas tecnologías, y teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del procesamiento, es probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas". En el artículo se establecen además factores concretos que indican un riesgo tan alto. Al considerar si se realiza una EIPD, se deben tratar los factores de riesgo que aparecen a continuación. Otros posibles factores y detalles adicionales se encuentran en la parte 1 de cada una de las directrices específicas del producto.
- Una evaluación sistemática y extensa de los datos basada en el procesamiento automatizado.
- Procesamiento a gran escala de categorías especiales de datos (datos que revelan información unívoca para la identificación de una persona física) o de datos personales relativos a delitos y condenas penales.
- Supervisión sistemática a gran escala de un área de acceso público.
El RGPD aclara que "el procesamiento de datos personales no debe considerarse a gran escala si el procesamiento se refiere a datos personales de pacientes o clientes por parte de un médico individual, otro profesional de atención médica o un abogado. En tales casos, una evaluación del impacto de la protección de datos no debe ser obligatoria."
¿Qué se necesita para completar una evaluación de impacto de la protección de datos (EIPA)?
El artículo 35(7) del RGPD exige que una evaluación de impacto de la protección de datos especifique los fines del procesamiento y una descripción sistemática del procesamiento previsto. En dicha descripción sistemática podrían incluirse factores como el tipo de los datos procesados, durante cuánto tiempo se conservan, dónde se encuentran y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:
- Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines.
- Evaluación de los riesgos para los derechos y libertades de las personas físicas.
- Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.
La guía específica del producto de la parte 2 también aborda los siguientes elementos de procesamiento:
- Finalidades del procesamiento
- Categorías de datos personales procesados
- Retención de datos
- Ubicación y transferencias de datos personales
- Uso compartido de datos con subprocesadores terceros
- Uso compartido de datos con terceros independientes
- Derechos del titular de los datos
Consideraciones adicionales
A continuación, se muestran detalles específicos que pueden ser relevantes para su implementación de Microsoft.
- Office 365: este documento se aplica a Office 365 aplicaciones y servicios, incluidos, entre otros, Exchange Online, SharePoint, Viva Engage, Skype Empresarial y Power BI. Consulte las tablas 1 y 2 para obtener más información.
- Azure: Se recomienda a los clientes que trabajen con sus responsables de privacidad y asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con su uso de Microsoft Azure.
- Dynamics 365: El contenido de un DPIA puede variar según las herramientas de Dynamics 365 que emplee. Para obtener detalles específicos, consulte el contenido de la segunda parte de una EIPD.
- Windows: este documento se aplica a la configuración del encargado de los datos de diagnóstico de Windows. Se anima a los clientes a trabajar con sus oficiales de privacidad y asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con su uso de la configuración del encargado de los datos de diagnóstico de Windows.
- Soporte técnico de Microsoft y servicios profesionales: Los Servicios Profesionales no realizan ciertos procesamientos de datos rutinarios o automatizados, ni están diseñados para procesar categorías especiales ni realizar tareas que faciliten o requieran la supervisión de datos accesibles públicamente. Para más detalles, consultar Parte 1: determinar si se necesita una EIPD Los controladores deben tener en cuenta los elementos de la EIPD descritos arriba, además de cualquier otro factor relevante, en el contexto de las implementaciones específicas del controlador y el uso de Professional Services. Para obtener información sobre Professional Services, consulte Parte 2: contenido de una EIPD.