Windows 365 solicitudes de interesados para el RGPD y ccpa
El Reglamento general de protección de datos (RGPD) de la Unión Europea otorga derechos a los usuarios (conocidos en el Reglamento como interesados) para administrar los datos personales recogidos por un empresario u otro tipo de agencia u organización (conocido como responsable de los datos o simplemente responsable). Los datos personales se definen ampliamente en el RGPD como cualquier dato que guarde relación con una persona física identificada o identificable. El RGPD ofrece a los interesados derechos específicos sobre sus datos personales, como la obtención de copias de ellos, la solicitud de modificaciones, la restricción de tratamiento, la eliminación o la recepción en un formato electrónico que permita su transferencia a otro responsable. Una solicitud formal de un interesado a un responsable para que realice una acción sobre sus datos personales se denomina Solicitud del interesado o DSR.
De manera similar, la Ley de privacidad del consumidor de California (CCPA por sus siglas en inglés), establece derechos y obligaciones de privacidad para los consumidores de California, incluyendo derechos similares a los derechos de las solicitudes del interesado del RGPD, como el derecho a borrar, acceder y recibir (portabilidad) su información personal. La CCPA también prevé casos de divulgación de información, protecciones contra la discriminación en el ejercicio de derechos y requisitos de "cancelación/suscripción" para ciertas transferencias de datos clasificadas como "ventas". Las ventas se definen de forma amplia para incluir el uso compartido de datos con ánimo de lucro. Para obtener más información sobre la CCPA, consulte la Ley de Privacidad de los Consumidores California y las Preguntas más frecuentes sobre la privacidad del consumidor de California.
Guía sobre cómo usar los productos, servicios y herramientas administrativas de Microsoft para ayudar a nuestros clientes poseedores de datos a encontrar y actuar en datos personales con el fin de responder a las solicitudes de derechos del titular de los datos. En concreto, esta guía incluye cómo encontrar datos personales o información personal que residen en la nube de Microsoft, obtener acceso a los mismos y actuar sobre ellos. Este es un breve resumen de los procesos descritos en esta guía:
- Búsqueda: use herramientas de búsqueda y detección para encontrar más fácilmente los datos personales que pueden ser objeto de una solicitud de DSR. Una vez recopilados los documentos de respuesta, puede realizar una o varias de las acciones de DSR siguientes para responder a la solicitud. También puede determinar que la solicitud no cumple con las directrices de la organización para responder a las solicitudes de sujeto de datos.
- Acceso: recupere datos personales que residan en la nube de Microsoft y, si se le pide, realice una copia para proporcionársela al titular de los datos.
- Rectificación: realice cambios o implemente otras acciones solicitadas en los datos personales, si corresponde.
- Restricción: restrinja el tratamiento de datos personales, ya sea al quitar las licencias de distintos servicios de Azure o al desactivar los servicios que quiera, siempre que sea posible. También puede quitar datos de la nube de Microsoft y conservarlos de manera local o en otra ubicación.
- Eliminación: elimine de forma permanente los datos personales que residen en la nube de Microsoft.
- Exportar o recibir (portabilidad): envíe una copia electrónica (en un formato legible por máquina) de datos o información personal al titular de los datos. La información personal bajo la CCPA es cualquier información relacionada con una persona identificada o identificable. No hay distinción entre los roles privados, públicos o laborales de una persona. La definición del término "información personal" es, a grandes rasgos, similar a la que el RGPD da al término "datos personales". Sin embargo, la CCPA también incluye datos domésticos y familiares. Para obtener más información sobre la CCPA, consulte la Ley de Privacidad de los Consumidores California y las Preguntas más frecuentes sobre la privacidad del consumidor de California.
Cada sección de esta guía describe los procedimientos técnicos que puede realizar una organización responsable de los datos para responder a una solicitud del interesado de datos personales en la nube de Microsoft.
Terminología
En la siguiente lista, se proporcionan definiciones de términos relevantes para esta guía.
- Poseedor: la persona física o jurídica, entidad pública, agencia u organismo que, solo o junto a otras personas, determina los fines y los medios del procesamiento de datos personales; donde los fines y los medios de dicho procesamiento están determinados por la ley de la Unión Europea o de los Estados miembros, el poseedor o los criterios específicos para su designación pueden estar proporcionados por la ley de la Unión Europea o de los Estados miembros.
- Datos personales y titular de los datos: cualquier información sobre una persona física identificada o identificable ("interesado"); una persona física identificable es una que puede identificarse, directa o indirectamente, especialmente en referencia a un identificador, con un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos físicos, fisiológicos, genéticos, mentales, económicos, culturales o de identidad social de esa persona física.
- Procesador: persona física o jurídica, entidad pública, agencia u otro organismo que procesa datos personales en nombre del poseedor.
- Datos de cliente: todos los datos, incluidos todos los archivos de texto, sonido, vídeo o imagen, y software, proporcionados a Microsoft por un cliente o en su representación mediante el uso del servicio empresarial. Los datos de cliente incluyen (1) información identificable de los usuarios finales (por ejemplo, nombres de usuario e información de contacto en Microsoft Entra id.) y contenido de cliente que un cliente carga o crea en servicios específicos (por ejemplo, el contenido del cliente en una cuenta de Azure Storage, el contenido del cliente de una base de datos de Azure SQL o la imagen de máquina virtual de un cliente en Azure Virtual Machines).
- Registros generados por el sistema: registros y datos relacionados generados por Microsoft que ayudan a Microsoft a proporcionar servicios empresariales a los usuarios. Los registros generados por el sistema contienen principalmente datos pseudonimizados, como identificadores únicos (por lo general, un número generado por el sistema que se usa para ofrecer los servicios empresariales a los usuarios, pero que no puede identificar a un individuo). Los registros generados por el sistema también pueden contener información identificable sobre los usuarios finales, como un nombre de usuario.
Uso de esta guía
Esta guía consta de dos partes:
- Parte 1: responda a las solicitudes de los datos de los clientes: En la parte 1 de esta guía se explica cómo tener acceso a los datos, rectificarlos, restringirlos, eliminarlos y exportarlos desde aplicaciones en las que haya creado datos. En esta sección, se explica cómo ejecutar DSRs en el contenido de los clientes y también la información que puede identificar los usuarios finales.
- Parte 2: Responder a las solicitudes de los sujetos de datos para los registros generados por el sistema: Cuando se utilizan los servicios empresariales de Microsoft, Microsoft genera cierta información, conocida como registros generados por el sistema, con el fin de proporcionar el servicio. En la parte 2 de esta guía se explica cómo tener acceso, eliminar y exportar este tipo de información para Azure.
Descripción de los DSR para el identificador de Microsoft Entra y Microsoft Windows 365
Al considerar los servicios proporcionados a los clientes empresariales, la ejecución de DSR siempre debe entenderse en el contexto de un inquilino de Microsoft Entra específico. En particular, los DSR siempre se ejecutan dentro de un inquilino Microsoft Entra determinado. Si un usuario participa en varios inquilinos, es importante destacar que un DSR determinado solo se ejecuta en el contexto del inquilino específico en el que se recibió la solicitud. Este contexto es fundamental para comprender, ya que significa que la ejecución de una DSR por parte de un cliente empresarial no afectará a los datos de un cliente empresarial adyacente.
Lo mismo se aplica también a microsoft Windows 365 proporcionado a un cliente empresarial: la ejecución de un DSR en una cuenta de Windows 365 asociada a un inquilino de Microsoft Entrasolo pertenecerá a los datos del inquilino. Además, es importante comprender lo siguiente al administrar cuentas de Windows 365 dentro de un inquilino:
- Si un usuario Windows 365 crea una suscripción de Azure, la suscripción se controlará como si fuera un inquilino Microsoft Entra. Por lo tanto, los DSR se limitan dentro del inquilino, como se describió anteriormente.
- Si se elimina una suscripción de Azure creada a través de una cuenta de Windows 365, no afectará a la cuenta de Windows 365 real. Una vez más, como se indicó anteriormente, los DSR que se ejecutan en la suscripción de Azure se limitan al ámbito del propio inquilino.
Parte 1: Guía de solicitud de interesado para datos de cliente
Ejecutar solicitudes de interesado en datos de cliente
Microsoft proporciona la capacidad de acceder, eliminar y exportar determinados datos de cliente a través de la Azure Portal y también directamente a través de interfaces de programación de aplicaciones (API) o interfaces de usuario (UI) preexistetivas para servicios específicos (también conocidos como experiencias en el producto). Los detalles relativos a esas experiencias en productos se describen en la documentación de referencia de los servicios respectivos.
Importante
Los servicios de apoyo a los DSR en producto requieren el uso directo de la interfaz de programación de aplicaciones (API) o la interfaz de usuario (UI) del servicio, que describe las operaciones CRUD (crear, leer, actualizar, eliminar) aplicables. Windows 365 no puede admitir completamente el uso directo de interfaces de programación de aplicaciones (API) para DSR, por lo que las solicitudes deben enviarse abriendo un caso de soporte técnico (consulte las instrucciones siguientes). Por consiguiente, la ejecución de los DSR dentro de un servicio dado debe hacerse además de la ejecución de un DSR dentro del Azure Portal para completar una solicitud dado el tema de los datos. Por favor, consulte la documentación de referencia de los servicios específicos para obtener más detalles.
Paso 1: Detección
El primer paso para responder a una solicitud de derechos del interesado es buscar los datos de cliente que sean el objeto de la solicitud. Este primer paso, buscar y revisar los datos personales en cuestión, le ayudará a determinar si una DSR cumple los requisitos de su organización para respetar o rechazar un DSR. Por ejemplo, después de encontrar y revisar los datos personales en cuestión, puede determinar que la solicitud no cumple los requisitos de su organización porque al hacerlo puede afectar negativamente a los derechos y libertades de los demás.
En el caso de las solicitudes de interesados específicas de Windows 365 datos de usuario, los administradores de inquilinos tendrán que abrir una solicitud de soporte técnico de Microsoft para obtener ayuda con la búsqueda de los datos personales que están sujetos al DSR. Se recomienda seguir las instrucciones relacionadas con el nivel de suscripción de Windows 365.
Windows 365 Business
El acceso a ayuda y soporte técnico se proporciona a través del Centro de Administración de Microsoft. Para abrir una solicitud de soporte técnico para un DSR:
- Haga clic en el icono de Ayuda en el banner del Centro de microsoft Administración o seleccione Ayuda & soporte técnico en la parte inferior derecha de la página Centro de microsoft Administración.
- En el campo de búsqueda, escriba "Solicitud del interesado" o "DSR" y, a continuación, haga clic en el botón Ponerse en contacto con soporte técnico .
- Complete la información necesaria en la solicitud de servicio en línea y, a continuación, seleccione Ponerse en contacto conmigo.
Para obtener instrucciones sobre cómo obtener ayuda y abrir una incidencia de soporte técnico, consulte Obtener soporte técnico para Microsoft 365 para empresas. El soporte técnico se incluye como parte de la suscripción de Windows 365.
Windows 365 Enterprise
El acceso a ayuda y soporte técnico se proporciona a través de Microsoft Endpoint Manager. Para abrir una solicitud de soporte técnico para un DSR:
- Vaya a Solución de problemas y soporte técnico en otro nodo del Centro de administración y seleccione Ayuda y soporte técnico para abrir una experiencia de pantalla completa de Ayuda y soporte técnico.
- Seleccione Windows 365.
- En el campo de búsqueda, escriba "Solicitud del interesado" o "DSR" y, a continuación, haga clic en el botón Ponerse en contacto con soporte técnico .
- Complete la información necesaria en la solicitud de servicio en línea y, a continuación, haga clic en Ponerse en contacto conmigo.
Para obtener instrucciones sobre cómo obtener ayuda y abrir una incidencia de soporte técnico, consulte Cómo obtener soporte técnico en Microsoft Endpoint Manager. El soporte técnico se incluye como parte de la suscripción de Windows 365.
Paso 2: Acceso
Una vez que haya encontrado datos de clientes que contengan datos personales que puedan responder a un DSR, le corresponde a usted y a su organización decidir qué datos proporcionar al sujeto de datos. Puede proporcionarles una copia del documento real, una versión redactada apropiadamente o una captura de pantalla de las partes que ha considerado oportuno compartir. Para cada una de estas respuestas a una solicitud de acceso, tendrá que recuperar una copia del documento u otro elemento que contenga los datos de la respuesta.
Al proporcionar una copia al interesado, deberá quitar o censurar información personal sobre otros interesados, además de la información confidencial.
Paso 3: Rectificar
Si un interesado le ha pedido que rectifique los datos personales que residen en los datos de su organización, usted y su organización tendrán que determinar si es apropiado aceptar la petición. La rectificación de los datos puede incluir la adopción de medidas como la edición, la redacción o la eliminación de datos personales de un documento u otro tipo o elemento.
Como procesador de datos, Microsoft no ofrece la capacidad de corregir los registros generados por el sistema, ya que refleja actividades fácticas y constituye un registro histórico de eventos dentro de los servicios de Microsoft. Con respecto a Windows 365, los administradores no pueden actualizar la información específica del dispositivo o de la aplicación. Si un usuario final quiere corregir algún dato personal (por ejemplo, el nombre del dispositivo), debe hacerlo directamente en su dispositivo. Estos cambios se sincronizan la próxima vez que se conecten a Windows 365.
Paso 4: Restricción
Los interesados pueden pedir que restrinja el procesamiento de sus datos personales. Proporcionamos tanto Azure Portal como interfaces de programación de aplicaciones (API) o interfaces de usuario (IU) ya existentes. Estas experiencias proporcionan al administrador del arrendatario de la empresa la capacidad de gestionar esos DSR mediante una combinación de exportación y eliminación de datos.
Paso 5: Eliminar
El “derecho a la eliminación” de datos personales de los datos de clientes de una organización es una protección clave en el GDPR. Cuando se quitan datos personales, esto conlleva quitar todos los datos personales y los registros generados por el sistema, salvo la información de registros de auditoría. Windows 365 tiene como valor predeterminado la práctica estándar de Microsoft Endpoint Manager para auditar, exportar o eliminar datos personales.
Parte 2: Registros generados por el sistema
Los registros de auditoría proporcionan a los administradores de inquilinos un registro de actividades que generan un cambio en Microsoft Windows 365. Los registros de auditoría están disponibles para muchas tareas de administración y normalmente permiten crear, actualizar (editar), eliminar y asignar acciones. También se pueden revisar las tareas remotas que generan eventos de auditoría. Estos registros de auditoría pueden contener datos personales. Los administradores no pueden eliminar los registros de auditoría. Para obtener más información, consulte Auditoría de datos personales.
Si necesita ayuda para ejecutar un registro de auditoría, siga las instrucciones descritas en la parte 1 anterior.
Más información
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de