Evaluaciones de impacto en la protección de datos personales: Guía para poseedores de los datos que usen Microsoft Azure

Según el Reglamento General de Protección de Datos (RGPD), los responsables de los datos deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Microsoft Azure que requiera necesariamente la creación de un DPIA por parte de un controlador de datos que lo use. El requisito de llevar a cabo una EIPD dependerá en cambio de los detalles y el contexto de cómo el responsable de los datos implementa, configura y usa Microsoft Azure. En cualquier caso, una EIPD debe comenzar al principio de la vida de un proyecto y ejecutarse en paralelo al proceso de planeamiento y desarrollo.

La finalidad de este documento es proporcionar a los poseedores de los datos información sobre Microsoft Azure que les permitirá determinar si se necesita una EIPD y, en ese caso, qué detalles incluir.

Nota:

Microsoft no proporciona asesoría legal en este artículo. Este artículo tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad —o responsables de protección de datos (DPO) cuando se designen— o asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con el uso de Microsoft Azure o cualquier otro servicio en línea de Microsoft.

Parte 1: Determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un poseedor de los datos cree una Evaluación de impacto en la protección de datos (EIPD) "cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas". Estipula aún más los factores específicos que indicarían dicho alto riesgo, que se explican en la tabla siguiente. Al determinar si necesita un EIPD, el poseedor de los datos necesita tener en cuenta estos factores, además de otros factores relevantes, en virtud de las implementaciones y los usos específicos de Microsoft Azure realizados por el poseedor.

Factor de alto riesgo Información relevante sobre Microsoft Azure
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles. Asimismo, sobre la base de esta evaluación, se basan decisiones que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. Microsoft Azure no ofrece funciones para realizar determinadas tareas automatizadas de procesamiento de datos.

Sin embargo, dado que Azure es un servicio altamente personalizable, un controlador de datos podría configurarlo potencialmente para que se use para dicho procesamiento. Los controladores deben tomar esta determinación en función de su uso de Azure.
El procesamiento a gran escala de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales. Microsoft Azure no está diseñado para procesar categorías especiales de datos personales, y el uso de Azure no aumenta el riesgo inherente del procesamiento de un controlador.

Sin embargo, un controlador de datos podría usar Microsoft Azure para procesar las categorías especiales enumeradas de datos. Microsoft Azure es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidas categorías especiales de datos personales. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al responsable de los datos determinar cuáles son usos adecuados de los datos del responsable de los datos.
Supervisión sistemática de un área accesible públicamente a gran escala. Microsoft Azure no se diseñó para realizar o facilitar dicha supervisión.

Sin embargo, un controlador de datos podría usar Azure para procesar los datos recopilados a través de dicha supervisión. Microsoft Azure es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidos los datos de supervisión. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al responsable de los datos determinar cuáles son usos adecuados de los datos del responsable de los datos.

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una Evaluación de impacto en la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En dicha descripción sistemática podrían incluirse factores como el tipo de los datos procesados, durante cuánto tiempo se conservan, dónde se encuentran y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • Una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;
  • Una evaluación de los riesgos para los derechos y libertades de las personas físicas; Y
  • Las medidas previstas para hacer frente a los riesgos, incluidas las medidas de seguridad, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas interesadas.

La tabla siguiente contiene información sobre Microsoft Azure que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles proporcionados en la tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de Microsoft Azure.

Elementos de una EIPD Información relevante sobre Microsoft Azure
Finalidades del procesamiento Las finalidades del procesamiento de los datos con Microsoft Azure las determina el poseedor que lo implementa, configura y usa.

Según lo especificado por los Términos de productoy el Complemento de protección de datos de productos y servicios (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente los Servicios en línea de acuerdo con las instrucciones documentadas del Cliente.

Como se detalla en el anexo estándar de protección de datos de productos y productos y servicios (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones comerciales legítimas que constan de: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, calcular las comisiones de los empleados y los incentivos de asociados); (3) informes internos y modelado (por ejemplo, previsión, ingresos, planeamiento de capacidad, estrategia de producto); (4) la lucha contra el fraude, la ciberdelincuencia o los ciberataques que puedan afectar a Microsoft o a los Productos de Microsoft; (5) mejorar la funcionalidad básica de accesibilidad, privacidad o eficiencia energética; y (6) informes financieros y cumplimiento de obligaciones legales (sujeto a las limitaciones de divulgación de datos de cliente descritos en los Términos de servicio en línea).

Microsoft es el controlador del procesamiento de datos personales para apoyar estas operaciones comerciales legítimas específicas. Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas, eliminando la capacidad de Microsoft de identificar a personas específicas, y utiliza los datos personales en la forma menos identificable que permita el procesamiento necesario para las operaciones comerciales legítimas.

Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares.
Categorías de datos personales procesados *Datos de cliente: todos los datos, incluidos el software y todos los archivos de texto, sonido, vídeo o imagen, proporcionados a Microsoft por un cliente o en su representación mediante el uso del servicio empresarial. Los datos del cliente incluyen tanto (1) información identificable de los usuarios finales (por ejemplo, nombres de usuario e información de contacto en Azure Active Directory) como el contenido del cliente que éste carga o crea en servicios específicos (por ejemplo, el contenido del cliente en una cuenta de Azure Storage, el contenido del cliente de una base de datos de Azure SQL o la imagen de la máquina virtual de un cliente en máquinas virtuales Azure).

Datos generados por el sistema: registros y datos relacionados generados por Microsoft que ayudan a Microsoft a proporcionar servicios empresariales a los usuarios. Los registros generados por el servicio contienen principalmente datos seudónimos, asociados con identificadores únicos generados por el sistema, que no pueden por sí solos identificar a una persona individual, sino que se utilizan para prestar los servicios de la empresa a los usuarios. Estos registros generados por el servicio también pueden contener información identificable sobre los usuarios finales, como un nombre de usuario.

Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) a través de una interacción con Microsoft para obtener soporte técnico para los servicios en línea.

Para obtener más información sobre los datos procesados por Azure, consulte los Términos del producto, incluidos el Contrato de procesamiento de datos y el Centro de confianza de Microsoft.

Retención de datos Microsoft conservará y procesará los datos del cliente durante el derecho del Cliente a usar el Servicio en línea y hasta que el Cliente recupere o elimine todos los datos del cliente de acuerdo con los términos de los Términos del productoy del Complemento de protección de datos de productos y servicios (DPA). En todo momento durante el plazo de la suscripción del cliente, este tendrá la posibilidad de acceder y extraer los datos del cliente almacenados en cada servicio en línea. Excepto en el caso de las pruebas gratuitas y los servicios LinkedIn, Microsoft conservará los datos del cliente almacenados en el servicio en línea en una cuenta de función limitada durante 90 días tras el vencimiento o la finalización de la suscripción del cliente para que éste pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft deshabilitará la cuenta del cliente y eliminará los datos del mismo. El cliente puede eliminar datos personales en función de una solicitud del titular de datos mediante las funciones que se describen en la Documentación RGPD de solicitud de sujeto de datos de Azure.
Ubicación y transferencias de datos personales Los clientes tienen la capacidad de aprovisionar datos de clientes en reposo dentro de regiones geográficas especificadas, sujetos a ciertas excepciones, tal como se establece en los Términos del productoy el Anexo de protección de datos de productos y servicios (DPA). También puede encontrar detalles adicionales sobre las implementaciones de servicio y la residencia de datos en el Anexo de Protección de datos (DPA) de Microsoft a los Términos del producto y en la página web de Infraestructura global de Azure .

En el caso de los datos personales procedentes del Espacio económico europeo, de Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como nuestros sub procesadores para apoyar funciones como el soporte técnico y al cliente, el mantenimiento del servicio y otras operaciones. Los subcontratistas a los que Microsoft transfiere datos de cliente, datos de soporte técnico o datos personales habrán suscrito contratos por escrito con Microsoft que no sean menos protectores que los Términos de protección de datos de los Términos del producto. Todos los sub procesadores de terceros con los que se comparten datos de clientes de los servicios centrales en línea de Microsoft están incluidos en la lista de sub contratistas de servicios en línea. Todos los sub procesadores de terceros que pueden acceder a los datos de soporte técnico (incluidos los datos de clientes que los clientes deciden compartir durante sus interacciones de soporte técnico) están incluidos en la lista de contratistas de soporte técnico comercial de Microsoft. 
Derechos del titular de los datos (DSR) Al operar como encargado de los datos, Microsoft pone a disposición del cliente (también conocido como el responsable de los datos) los datos personales de sus interesados y le posibilita realizar las solicitudes de los interesados cuando estos ejerzan sus derechos en virtud del RGPD. Microsoft lo hace de forma coherente con la funcionalidad del producto y su papel como encargado de los datos.     Si Microsoft recibe una solicitud de los titulares de los datos del cliente para ejercer uno o más de sus derechos en virtud de la Ley de protección de datos, la solicitud será redirigida al controlador de datos.

La Guía de solicitudes de los interesados de datos en Azure proporciona una descripción al controlador de datos sobre cómo apoyar los derechos de los sujetos de datos utilizando las capacidades en Azure.

Las solicitudes de un interesado para ejercer derechos en virtud del RGPD para los datos personales procesados para respaldar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft.

Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas y no está en condiciones de identificar los datos personales de un individuo específico en el agregado. Esta acción reduce significativamente el riesgo para la privacidad del individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.

En la Documentación del RGPD de solicitudes del titular de los datos de Azure, se proporciona una descripción de cómo admitir derechos del titular de los datos con las funciones presentes en Azure.
Una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines Esa evaluación dependerá de las necesidades y los propósitos de procesamiento del controlador de datos.

Microsoft toma medidas como la anonimización o agregación de los datos personales utilizados por Microsoft para apoyar las operaciones comerciales legítimas con el fin de respaldar la prestación de los servicios, minimizando el riesgo de dicho procesamiento para los titulares de los datos que utilizan el servicio.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos. Microsoft realiza este compromiso en los Términos del producto.
Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos Los riesgos más importantes para los derechos y libertades de los titulares de los datos derivados del uso de Microsoft Azure será una función de cómo y en qué contexto el poseedor de los datos implementa, configura y usa Microsoft Azure.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. Las medidas que Microsoft toma para abordar estos riesgos se describen en los Términos del producto, como se detalla más adelante en este artículo.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a ayudar a proteger la seguridad de los datos del cliente. Las medidas de seguridad que Microsoft toma se describen en detalle en los Términos del producto.

Microsoft cumple con estrictas normas de seguridad y una metodología de protección de datos líder en la industria. Microsoft mejora continuamente sus sistemas para hacer frente a las nuevas amenazas. Puede encontrar más información sobre la gobernanza de la nube y las prácticas de privacidad en la página Privacidad de gobernanza & en la nube del Centro de confianza .

Microsoft toma medidas técnicas y organizativas razonables y adecuadas para proteger los datos personales que trata. Estas medidas incluyen, entre otras, directivas y prácticas de privacidad interna, compromisos contractuales y certificaciones de normativas internacionales y regionales. Para obtener más información, consulte la página de normas de privacidad del centro de confianza.

Microsoft proporciona materiales de seguridad y privacidad significativos y transparentes orientados al cliente para ayudar a explicar el uso y el procesamiento de datos personales por parte de Microsoft. Se recomienda a los clientes que se pongan en contacto con Microsoft si tienen preguntas.

Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros.

Cuando Microsoft procesa datos personales para sus operaciones comerciales legítimas, cumple con las obligaciones de la GDPR que se aplican a los controladores de datos.

Más información