Guía de privacidad técnica para información de la organización e información avanzada
Microsoft Viva Insights genera información útil sobre cómo funcionan su organización y sus empleados. Para ello, analiza los datos de colaboración de Microsoft 365 y los datos de la organización (RR. HH.) que proporcione. Debido a la posible confidencialidad sobre cómo se podrían usar los datos, la implementación y el uso correctos de Viva Insights requieren una atención cuidadosa a los datos y a la protección de la privacidad.
Esto es especialmente cierto para la información de la organización y la información avanzada, que, en función de la configuración, podría proporcionar a los usuarios información sobre otros a los que no podrían acceder. Los líderes y administradores con acceso a información de la organización pueden encontrarlos en el correo electrónico y Viva Insights aplicación de Teams. Los analistas con acceso a información avanzada pueden usar el área de trabajo de análisis para crear sus propias conclusiones.
En este recurso se explica cómo Microsoft proporciona al administrador del cliente controles para administrar datos confidenciales e implementa protecciones dentro de Viva Insights para mantener la privacidad de los empleados. Estos controles y protecciones respaldan el cumplimiento de las normativas locales, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, para Viva Insights.
Este documento es específico de información avanzada y de la organización y proporciona información técnica sobre cómo se protegen los datos y la privacidad. Para obtener información sobre cómo se administra la privacidad para obtener información personal, consulte:
- Guía de privacidad del usuario de Información personal
- Guía de privacidad técnica de Información personal
Aspectos básicos de privacidad
En esta sección se describen los conceptos que proporcionan un marco para comprender cómo Viva Insights aborda la protección de datos.
Aspectos básicos de la entidad de datos
La legislación europea de privacidad describe los roles fundamentales y las responsabilidades para pensar en la protección de datos. Estos conceptos ayudan a ilustrar las responsabilidades respectivas del cliente, Microsoft y los empleados a la hora de procesar y administrar datos confidenciales.
Los conceptos de controlador de datos, procesador de datos y interesado se originan en la legislación europea de privacidad. Independientemente de dónde se encuentre su organización o de si se trata de datos personales de ciudadanos de la Unión Europea, estos conceptos proporcionan un marco útil para pensar en la protección de datos al usar Viva Insights.
En la ilustración siguiente se muestra la posición central del controlador de datos (su organización) entre el interesado (izquierda) y el procesador de datos, Microsoft (a la derecha):
Controlador de datos
El responsable de los datos es una parte que determina los fines y medios de tratamiento de los datos personales de un interesado.
Al usar Viva Insights, su organización es el controlador de datos porque su organización determina si, cómo y por qué Viva Insights procesa los datos personales.
Como controlador de datos, su organización debe:
- Determine el ámbito de los datos que se van a analizar y el propósito y los objetivos del análisis.
- Trabaje con los equipos legales, de privacidad y de recursos humanos de su organización para las siguientes tareas:
- Determinar si debe obtener el consentimiento de los empleados de su empresa.
- Determinar qué información proporciona a los empleados sobre cómo procesa su organización sus datos personales en Viva Insights.
- Tener en cuenta las consideraciones locales (por ejemplo, obtener la aprobación de los comités de empresa locales, si procede).
- Use Viva Insights controles de privacidad para dirigir qué datos se analizarán, cómo aparecen los datos en los resultados y quién tendrá acceso tanto a los datos sin procesar como a los resultados del análisis.
- Revise y familiarícese con este documento y con otra documentación de privacidad Viva Insights proporcionada por Microsoft.
Procesador de datos
El procesador de datos es una parte que procesa los datos personales en nombre del controlador de datos. Cuando su organización usa Viva Insights, Microsoft es el procesador de datos.
Como procesador de datos, Microsoft:
Procese los datos personales de acuerdo con las instrucciones de su organización según se indique a través de la configuración de configuración dentro de Viva Insights.
Mediante el uso de Viva Insights, procese todos los datos proporcionados a Microsoft (incluidos los datos personales) de acuerdo con los mismos términos generales de privacidad y seguridad en los Términos del producto que Microsoft 365.
Como parte de los compromisos de Microsoft en virtud de los Términos del producto y el Complemento de protección de datos de productos y servicios de Microsoft, cumpla las cláusulas contractuales estándar y permanezca certificado en la UE-EE. UU. y Suiza-EE. UU. Los Marcos del Escudo de Privacidad y los compromisos que estos marcos conllevan para legitimar las transferencias de datos personales de la UE y Suiza a los Estados Unidos, aunque Microsoft no se basa en el Marco del Escudo de privacidad UE-EE. UU. como base jurídica para las transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en el asunto C-311/18.
Se compromete contractualmente a cumplir las disposiciones aplicables del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, vigente a partir del 25 de mayo de 2018.
Proporcione Viva Insights características que ayuden a las organizaciones a cumplir sus obligaciones de controlador de datos y a respetar los derechos de los interesados en virtud del RGPD, incluido el derecho de exclusión del procesamiento, el acceso y la eliminación, e incluido el derecho de transparencia con respecto a los métodos de procesamiento.
Implemente medidas de seguridad técnicas y organizativas para proteger la confidencialidad de los datos de su organización (y de los empleados) en Viva Insights.
Además, Microsoft no usa datos de clientes ni datos personales para publicidad ni se ofrece voluntariamente a proporcionar dichos datos a las fuerzas del orden.
Interesado
Un interesado es una persona que se puede identificar a través de datos personales. En el contexto de Viva Insights, el interesado es un empleado u otro usuario de su organización cuya información personal se está procesando. Los datos personales son cualquier información que identifique directa o indirectamente a una persona (el interesado).
Nota:
En la mayoría de los casos en la Viva Insights producto y documentación, nos referimos a un interesado simplemente como un "usuario", una "persona", una "persona" o un "empleado".
Aspectos básicos de la clasificación de datos
En función de la cantidad de detalles disponibles, los datos pueden ser más o menos confidenciales. En este marco se describen diferentes niveles de formatos de datos confidenciales y dónde pueden aparecer en Viva Insights.
| Sensibilidad | Clasificación | Definición | Cómo se aplica en Viva Insights |
|---|---|---|---|
| Highest | Datos personales | Los datos personales son información que identifica directa o indirectamente a una persona | De forma predeterminada, Viva Insights no incluye datos personales. Cuando procesa datos, oculta las direcciones de correo electrónico de Microsoft 365 que identificarían a una persona. Sin embargo, su organización puede optar por proporcionar también información descriptiva de los empleados para su análisis. Si incluye datos personales (por ejemplo, nombres de empleados y números de identificación), esos datos personales pueden aparecer a los analistas en información avanzada. |
| Higher | Datos des identificados | Los datos no identificados reemplazan los identificadores personales por un valor que no identifica directamente a una persona (por ejemplo, una clave cifrada). Estos identificadores no se pueden asignar de nuevo a una persona específica sin información adicional. | Viva Insights reemplaza automáticamente las direcciones de correo electrónico por cadenas criptográficamente ocultas de números y letras cuando procesa datos de Microsoft 365. Estas filas sin identificar reducen la probabilidad de que un analista pueda identificar a una persona específica. Sin embargo, el administrador de Insights puede cargar campos de datos de la organización personalizados. Estos campos personalizados pueden contener información de identificación nueva o proporcionar un contexto descriptivo suficiente para que un analista pueda deducir la identidad. El administrador de Insights debe sopesar el riesgo y la ventaja de los campos de datos de la organización personalizados. |
| Lower | Datos agregados | Los datos agregados representan varias personas o orígenes sin atribuir a ninguna persona o origen del grupo. | Viva Insights suele proporcionar promedios para los grupos de la organización. Cuando estos grupos incluyen a muchas personas, es difícil derivar información sobre la actividad de cualquier persona específica de estos promedios. Sin embargo, si un usuario puede ver los resultados de grupos muy pequeños o comparar promedios de grupos superpuestos, es posible que todavía pueda identificar a una persona específica a partir de datos agregados. Los datos agregados se pueden proteger aún más para reducir la posibilidad de que se identifique a un individuo. La información de la organización proporciona a los líderes y administradores resultados protegidos mediante la aplicación de tres estrategias: tamaños mínimos de grupo, privacidad diferencial y distribuciones enmascaradas. Puede obtener más información sobre estas técnicas en Protección de datos confidenciales. |
Protección de datos confidenciales
La sección anterior clasifica los datos en función de su confidencialidad. Viva Insights está diseñado para proporcionar información con la versión menos confidencial de los datos disponibles. Para ello, incluye protecciones integradas en información avanzada e información de la organización para que los usuarios vean información agregada y desintegrado siempre que sea posible.
Datos personales, datos no identificados y datos calculados
Algunos analistas pueden acceder a los datos de los empleados de nivel de fila en información avanzada. Para proteger las identidades de los empleados conservando el valor de información de los datos de nivel de fila, Viva Insights aplica un algoritmo para cifrar las direcciones de correo electrónico de los empleados. Sin embargo, en función de los tipos de atributos descriptivos de empleados que el administrador de Insights ha elegido poner a disposición de Viva Insights, estos atributos pueden proporcionar suficiente contexto o combinarse con otra información, de modo que un analista pueda deducir identidades individuales. Por este motivo, el acceso de analistas se basa en la confianza y algunas organizaciones optan por reforzar esa confianza asegurándose de que los usuarios con acceso de analista tengan formación sobre el uso y el control de datos adecuados.
En el ejemplo siguiente se muestra una línea de una consulta de información avanzada:
| Identificador de persona cifrada | Fuera del horario laboral | Horas de correo electrónico | Función | El título | Organización |
|---|---|---|---|---|---|
| T5Y07H4VfKWcCC3 | 7 | 16 | HR | Director | RR. HH. – Corp |
En este ejemplo, Viva Insights calcula after hours y Email horas para un individuo. Imprime los resultados en una fila que incluye los atributos de esa persona a partir de los datos de la organización proporcionados por el administrador de Insights. El identificador de persona es un identificador generado criptográficamente derivado de la dirección de correo electrónico de Microsoft 365 de la persona. Los demás atributos son datos personales de forma eficaz. Aunque es posible que no sea posible identificar al usuario con ninguna de las otras columnas (función, título, organización y región), estos atributos juntos podrían permitir que un analista identifique a una persona. Por lo tanto, este grupo de atributos debe tratarse como datos personales potenciales.
Tamaño mínimo del grupo
Dado que es más fácil adivinar información sobre un individuo en función de los resultados de un grupo más pequeño, la información agregada no mostrará resultados para grupos con menos de 10 personas. El administrador de Insights puede optar por aumentar este umbral. El tamaño mínimo del grupo se aplica a las visualizaciones de datos en las plantillas avanzadas de Power BI y la información de la organización para los líderes y administradores de Outlook y Teams.
Enmascaramiento de distribución
Algunas conclusiones miden cuántas personas tienen un perfil determinado, como qué porcentaje de una organización obtiene suficiente tiempo de concentración. Los resultados agregados están protegidos por oscurecer o enmascarar los resultados que, de lo contrario, revelarían que "casi todos" o "casi ninguno" del grupo encajan en el perfil, ya que esto le proporcionaría información sobre cada individuo del grupo de forma eficaz. Este enmascaramiento se aplica a la información de la organización para los líderes y administradores de Outlook y Teams.
Privacidad diferencial
Microsoft Viva Insights es serio sobre la protección de la privacidad individual. La privacidad siempre se puede garantizar si no se revela ninguna información, lo que no resulta útil. Del mismo modo, hacer que toda la información esté disponible puede conducir a métricas de alta fidelidad que comprometen la privacidad individual.
La privacidad diferencial ofrece un equilibrio entre proporcionar información útil y proteger la privacidad individual. Utilizando métodos de investigadores de clase mundial, Viva Insights ajusta aleatoriamente las observaciones individuales de modo que los ajustes agregados se compensan entre sí y el resultado agregado que el usuario ve sigue siendo preciso. Con la privacidad diferencial, los usuarios no pueden discernir los verdaderos resultados individuales, ya que los resultados individuales usados en el cálculo se han cambiado. Para más información, consulte Privacidad diferencial para todos los usuarios.
La primera aplicación de privacidad diferencial en Viva Insights es información de la organización. Estas informaciones permiten a los administradores comprender cómo les está yendo a las personas en su equipo y aprender a conducir el cambio mediante el uso de datos de colaboración agregados.
Independientemente de cómo se presenten o usen los promedios agregados en la información de la organización, ningún jefe o jefe de equipo puede concluir con confianza algo específico sobre una persona que de otro modo no podría saber.
Consulte Privacidad diferencial para obtener más información sobre cómo Microsoft AI ayuda a definirla y usarla.
Administración de datos confidenciales
Viva Insights proporciona al administrador de Microsoft 365 y al administrador de Insights herramientas para administrar qué datos se procesan, quién tiene acceso y solicitudes específicas del interesado.
Administración de los datos que se procesan
Conserva el control total sobre qué datos se usan y cómo se usan en Viva Insights. Viva Insights usa metadatos de correo electrónico y calendario de Microsoft 365 y datos externos definidos por su organización (normalmente exportados desde un sistema de RR. HH.) para calcular cuánto tiempo dedican los grupos de su organización a reuniones, correos electrónicos, llamadas y chats, y con quién.
Viva Insights procesa datos procedentes de datos de la organización de su propio sistema de RR. HH. y datos de colaboración de Microsoft 365 para proporcionar a los analistas un grupo unificado de datos en el que realizar análisis.
Datos procesados desde Microsoft 365
Viva Insights usa datos de colaboración de Microsoft 365. Al asignar o no una licencia de Viva Insights a una persona, el administrador de Microsoft 365 controla si Viva Insights procesa los datos de colaboración de esa persona.
Viva Insights usa información de encabezado de los elementos de calendario y correo electrónico de Microsoft 365. Esta información de encabezado incluye las líneas de remitente y destinatario, fecha y asunto del correo electrónico, y organizador, asistente y duración de las reuniones. Viva Insights nunca incluye datos adjuntos y contenido en los elementos de correo electrónico y calendario.
Es importante tener en cuenta que, aunque Viva Insights usa estos datos de Microsoft 365, la mayor parte de la información de encabezado nunca está disponible directamente para los usuarios del servicio. En su lugar, Viva Insights proporciona cálculos y métricas basados en esta información. Además, con la configuración del servicio, puede decidir y configurar qué datos usar y quién puede verlos. Revise la documentación de las características de privacidad del producto para obtener detalles completos.
Los metadatos de correo electrónico, calendario, llamada y mensaje instantáneo de Microsoft 365 proporcionan la base para todos los análisis de Viva Insights, por lo que el primer paso es determinar qué usuarios desea incluir. Al elegir un usuario que se va a incluir, Viva Insights usa la siguiente información sobre los elementos del buzón y el calendario de ese usuario:
| Elemento | Originador | Destinatario | Asunto | Cronología | Estado |
|---|---|---|---|---|---|
| sender | destinatarios | línea de asunto | hora de envío | ||
| Reunión | organizer | Invitados | línea de asunto | hora programada | estado del asistente |
| call | organizer | Invitados | hora programada, tiempo unido a llamadas, duración de la llamada | estado de llamada/unión | |
| chat | remitente de la mensajería instantánea inicial | destinatarios | Tiempo de envío de mensajería instantánea |
Importante
Los datos adjuntos y el texto del cuerpo del correo electrónico y las reuniones nunca se usan en Viva Insights.
Datos procesados desde la organización
Para proporcionar contexto a la información, Viva Insights usa información descriptiva sobre los empleados. El administrador de Insights controla qué información descriptiva está disponible. Para información de la organización, solo la jerarquía de informes (es decir, quién notifica a quién) está disponible para los usuarios finales que son líderes y administradores. Para obtener información avanzada, los analistas pueden acceder a otra información descriptiva disponible, como la función de trabajo o la geografía.
Para habilitar el análisis en las líneas organizativas, puede proporcionar datos de RR. HH. como materias, títulos, ubicaciones y administradores. Viva Insights garantiza que las identidades individuales nunca se usen para analizar esta información. Sin embargo, es importante tener cuidado para evitar la identificación accidental de los usuarios en función de datos personales, como nombres, números de identificación de empleados o ubicaciones de oficina específicas.
Además, tenga en cuenta los riesgos de incluir atributos cuyos valores específicos puedan identificar a algunas personas directamente (como el campo de título que contiene "CEO") o podría reducir el conjunto de personas por debajo de los umbrales de agregación que hacen que los individuos puedan identificarse fácilmente (por ejemplo, podría haber solo unos cuantos directores).
Los datos de la organización pueden proceder de recursos humanos, sistemas de información u otros almacenes de datos de línea de negocio. Viva Insights combina metadatos de correo electrónico, calendario, llamadas y mensajes instantáneos de Microsoft 365 con los datos de la organización que elija usar para proporcionar información detallada y procesable sobre las tendencias de comunicación y colaboración de su empresa para ayudarle a tomar decisiones empresariales más eficaces.
Los conjuntos de datos se combinan mediante las direcciones de correo electrónico de los usuarios, pero las direcciones de correo electrónico nunca se muestran en Viva Insights a través de paneles o resultados de consultas.
Tenga en cuenta que otra información proporcionada en el conjunto de datos de la organización se expone en información avanzada. Tenga cuidado de asegurarse de que el conjunto de datos no incluya datos personales (por ejemplo, identificadores de empleados). Para obtener más información, consulte Preparación de datos de la organización.
Administración de quién tiene acceso a los datos
El administrador de Microsoft 365 puede asignar roles de usuario con distintos niveles de acceso a información de la organización e información avanzada.
Controla quién puede ver los datos y los resultados del análisis.
Información avanzada
Los siguientes niveles de permisos proporcionan acceso a los datos de Viva Insights:
- El rol Analista de Insights tiene acceso total a todas las características de producto de información avanzada, excepto a las características de administrador.
- El rol Administrador de Insights solo tiene acceso a las características de administrador (como los datos de la organización y la configuración de privacidad en Viva Insights).
La información avanzada, al igual que otros productos que funcionan con datos confidenciales (por ejemplo, sistemas de RR. HH.) no está pensada para el personal general. En su lugar, se espera que sus usuarios tengan entrenamiento sobre cómo controlar la información confidencial. La formación debe ser específica para su organización. Los temas sugeridos pueden incluir las directivas de RR. HH. de su organización, la directiva de privacidad de los empleados, cómo controlar y almacenar datos confidenciales y el comercio interno.
Un analista de Insights puede acceder a la información en información avanzada. Personas asignado este rol puede ejecutar datos de consulta con información de reunión y correo electrónico(que se encuentra en la categoría de datos no identificativos) para su análisis. Sin embargo, si decide proporcionar datos personales, el analista puede discernir qué métricas se están calculando. Por lo tanto, es importante que a estos analistas se les proporcione el entrenamiento necesario antes de que se les dé acceso a Viva Insights. Además, Viva Insights registra todas las consultas que crean los analistas, lo que le permite auditar la coherencia con las directivas de la organización y las evaluaciones de impacto de protección de datos (PPPA) que haya completado.
El administrador de inquilinos aprovisiona el rol Analista de insights.
Conclusiones de la organización
El rol líder empresarial de Insights y la lista de administradores de grupos rigen el acceso a la información de la organización en Outlook y Teams.
Personas con el rol Líder empresarial de Insights asignado puede ver información de la organización que incluya a todas las personas de su inquilino.
Personas habilitados como administradores de grupos pueden ver información de la organización que solo incluya personas que informen a ellos directa o indirectamente. El administrador de Insights puede asignar usuarios como administradores de grupos. Jerarquía de informes que determina quién informa a quién se basa en los campos requeridos PersonId y ManagerId, que se incluyen en los datos de la organización mantenidos por el administrador de Insights.
Administración de solicitudes del interesado
El cliente, como controlador de datos, es responsable de controlar determinadas solicitudes de los empleados, como interesados. Microsoft, el procesador de datos, proporciona controles en Viva Insights para respetar los derechos del interesado.
Según el RGPD, los interesados pueden tener derechos para solicitar la exclusión del procesamiento, el acceso, la corrección o la eliminación de sus datos personales. Es el rol de su organización como controlador de datos evaluar si una solicitud de interesado determinada es válida y, si procede, tomar medidas para satisfacer la solicitud. Como procesador de datos, Microsoft proporciona mecanismos para que su organización, como controlador de datos, respete los derechos del interesado a través de controles integrados en Viva Insights.
- Exclusión del procesamiento : los interesados tienen derecho a que su información personal no se procese. En Viva Insights, puede excluir que la información personal de un empleado se procese simplemente sin asignar una licencia de Viva Insights a ese empleado.
- Acceso: los interesados tienen derecho a exigir qué información personal se está procesando y Viva Insights le ofrece la capacidad de exportar los datos sin procesar, que pueden contener datos personales. El ámbito de dicha información está restringido a lo que se puede asociar personalmente y no contiene métricas agregadas desde las que no se puede obtener información personal.
- Corrección : los interesados tienen derecho a rectificar sus datos personales. Viva Insights solo realiza operaciones (principalmente aritméticas) en los datos que se le proporcionan desde otros orígenes, como el correo electrónico y los datos de reunión de Microsoft 365 o los datos de la organización que se cargan. Estos datos no se corrigen a través de Viva Insights.
- Eliminación : Microsoft admite el derecho de eliminación del RGPD. Además, si es necesario, los propios clientes también pueden eliminar informes que identifiquen al interesado. Los clientes también pueden eliminar al interesado de cualquier otro dato (como datos de la organización o datos de CRM) que puedan haber proporcionado a Viva Insights.
- Transparencia con respecto al procesamiento: consulte Definiciones de métricas para obtener información detallada sobre las métricas calculadas por Viva Insights y lo que significan.
Conservación de datos confidenciales
Viva Insights no conserva ningún dato de colaboración que tenga más de 27 meses. En función del estado de las licencias de usuario, Viva Insights podría conservar menos datos.
¿Cuánto tiempo Microsoft Viva Insights y en Teams se conservan los datos recopilados? La respuesta depende del estado de las licencias de usuario Viva Insights:
- Retención de datos para inquilinos activos
- Retención de datos después de quitar una licencia
- Retención de datos y acceso después de que expiren todas las suscripciones
Retención de datos para inquilinos activos
Un inquilino activo es un inquilino que tiene una o varias licencias de usuario Viva Insights válidas.
De forma predeterminada, Viva Insights recopila, procesa y conserva inicialmente los datos por valor de 13 meses. A continuación, a través de actualizaciones semanales, Viva Insights aumenta este historial hasta que se recopilan datos por valor de 27 meses. Después de este punto, los datos de colaboración anteriores se eliminan a medida que se recopilan los datos de colaboración más recientes.
Esto significa que Viva Insights no tendrá datos de colaboración anteriores a 27 meses.
Retención de datos después de quitar una licencia
Si la licencia de Viva Insights se quita de un usuario, Viva Insights conserva los datos de colaboración de ese usuario que se recopilaron durante el período en que se asignó la licencia. Sin embargo, para que un usuario aparezca en los resultados de la consulta, ese usuario debe tener una licencia en el momento en que se ejecuta la consulta. Obtenga más información sobre cuándo se muestran los usuarios en los resultados de la consulta.
Los datos de colaboración de la persona se eliminarán según la directiva de retención general descrita en Retención de datos para inquilinos activos.
Para quitar de forma permanente los datos de los usuarios después de quitar las licencias, puede ponerse en contacto con el servicio de atención al cliente de Microsoft para solicitar un restablecimiento de datos de colaboración.
Para obtener información sobre las solicitudes de eliminación de datos tal como se administran en el RGPD, consulte Administración de solicitudes del interesado.
Nota:
Los usuarios de Microsoft 365 pueden determinar si tienen una licencia de Viva Insights y, en consecuencia, si sus datos se están procesando. Para obtener más información, consulte ¿Cómo puedo averiguar cuál es mi plan?.
Retención de datos y acceso después de que expiren todas las suscripciones
Si todas las suscripciones expiran, tiene hasta el final del período de gracia para descargar los datos en forma de resultados. Consulte Para obtener acceso a los resultados de la consulta para obtener más información. La duración del período de gracia varía entre países y planes. Normalmente, son 90 días para las compras de licencias por volumen o 30 días para otros tipos de compra. Todos los datos de back-end se eliminarán de acuerdo con el Estándar de control de datos de Microsoft 365.
Una vez transcurrido este período, ya no tendrá acceso a Viva Insights.
Para descargar los resultados de la consulta:
- Abra la aplicación de conclusiones avanzadas. Si se le solicita, inicie sesión con su cuenta profesional.
- Seleccione Resultados de la consulta de analistas>.
- En la fila de los resultados de la consulta, seleccione Descargar para descargar los resultados como un archivo .csv, que se archiva como un archivo .zip.
Trabajar con datos confidenciales en información avanzada
Los analistas con acceso a información avanzada pueden usar el área de trabajo de analistas para crear sus propias conclusiones. Las siguientes recomendaciones de procedimientos recomendados pueden ayudar a administrar el riesgo de privacidad asociado a la creación de nuevas conclusiones.
Planeamiento del análisis
Aclarar el ámbito de un proyecto y las ventajas esperadas le permite evaluar la cantidad necesaria y evitar más exposición de la necesaria.
La información avanzada ofrece una gran flexibilidad analítica, por lo que antes de empezar, es importante tener un propósito claro sobre lo que desea analizar y por qué. Determine qué preguntas específicas sobre su organización quiere responder y, a continuación, considere cómo Viva Insights podría ayudarle a encontrar esas respuestas.
Tener una pregunta clara y, a continuación, determinar cómo responderá un análisis de datos de Viva Insights la pregunta cumple los siguientes objetivos:
- Mantiene sus esfuerzos centrados en un propósito limitado y ayuda a evitar que los analistas simplemente tamee a través de los datos de análisis.
- Ayuda a limitar los datos para usar y evitar problemas de privacidad, como incluir más datos de los necesarios, conservar los datos durante más tiempo del necesario y no ser transparente con los empleados sobre cómo se podrían usar sus datos personales.
En la medida en que su organización esté sujeta al RGPD, planear su análisis es un paso clave para determinar y documentar el interés legítimo en el procesamiento de datos personales con Viva Insights.
Evaluaciones de impacto de la protección de datos (DPIA)
Su personal legal o de RR. HH. puede asesorar sobre si una DPIA está justificada para determinar si los beneficios del proyecto superan los riesgos potenciales.
El grado de riesgo de privacidad para los empleados y otros usuarios de su organización está en gran medida dentro de su control. Ese riesgo depende principalmente del conjunto de datos organizativo que va a importar en Viva Insights y de cómo usará esos datos.
Después de desarrollar un plan de análisis, pero antes de empezar a procesar los datos en Viva Insights, determine si necesita completar un DPIA. Si el uso propuesto de Viva Insights implica el procesamiento de datos personales de una manera que podría dar lugar a riesgos elevados para los derechos de los empleados y otros usuarios de su organización, es posible que se justifique completar una DPIA. Si no está seguro de si se requiere una DPIA, consulte a los expertos en la materia de privacidad de su organización, como el personal legal o de RR. HH.
Los datos de mayor riesgo incluyen datos demográficos confidenciales, como el origen racial o étnico, el sexo o el género, y la afiliación sindical. Los usos de mayor riesgo de Viva Insights incluyen el uso del servicio para generar perfiles o para tomar decisiones o predicciones automatizadas sobre los empleados. (Tenga en cuenta que Microsoft diseñó Viva Insights para ayudar a las personas de las organizaciones a tomar decisiones basadas en datos, no para automatizar esas decisiones).
Si determina que una DPIA es necesaria para el uso propuesto de Viva Insights, deberá documentar varios aspectos de cómo usará el servicio para procesar los datos personales, incluido cómo se recopilan los datos; cómo se procesan; la necesidad del procesamiento en relación con el propósito; qué riesgos presenta el procesamiento a los empleados; los flujos de datos dentro y fuera de Viva Insights; comentarios que recibió de los empleados sobre el procesamiento de datos propuesto; y cualquier otra información que el responsable de protección de datos (o equivalente) de su organización considere necesaria para el DPIA. Como controlador de datos, su organización es totalmente responsable de determinar los propósitos de su organización para usar Viva Insights. Como procesador de datos, Microsoft le informa de cómo funciona el producto y procesa los datos de acuerdo con la configuración de los servicios.
Limitación de la confidencialidad de los datos
Durante el proyecto, considere en cada paso qué datos menos confidenciales le permitirán lograr su objetivo.
Para minimizar el riesgo de privacidad, use los datos mínimos necesarios para realizar su investigación. Si bien adoptar una directiva estricta de nunca usar datos personales y minimizar el uso de datos desidentidentes en combinación con atributos de identificación puede ayudar a abordar muchos de los riesgos inherentes al uso de estos datos, dicha directiva puede restringir los tipos de análisis que Viva Insights pueden realizar. Depende de su organización decidir el mejor enfoque y directiva para su organización.
Por ejemplo, muchas empresas ven la ventaja de comprender los patrones de colaboración agregados entre diferentes equipos o departamentos dentro de su organización. Es posible que menos empresas se sientan cómodas analizando información altamente confidencial, como datos de estado, ubicación en tiempo real, contenido de documentos y determinados tipos de datos demográficos de diversidad.
Expertos en la materia
Los expertos en privacidad y asuntos jurídicos pueden ayudarle a adelantarse a posibles problemas de protección de datos.
Consulte con los expertos en RRHH, privacidad y asuntos legales de su organización en los países en los que desea usar Viva Insights. Los análisis que podrían ser aceptables en un país podrían estar sujetos a más requisitos (por ejemplo, obligaciones de notificación y consentimiento) o incluso ilegales en otros países. La diligencia debida es especialmente importante en jurisdicciones altamente reguladas como la Unión Europea.
Nota:
Algunos países requieren que los empleadores consulten con los representantes de los empleados o soliciten la aprobación de un comité de empresa antes de implementar cierta tecnología de la información en el lugar de trabajo, mientras que otros restringen cuándo y cómo los empleadores pueden procesar determinados datos de empleados. Por ejemplo, si su empresa tiene empleados en Alemania o Países Bajos, debe considerar si es necesaria la participación o aprobación del comité de empresa. Además, Viva Insights procesa los datos de las comunicaciones de los empleados, que podrían considerarse "datos de comunicaciones" (incluidos los "datos de tráfico") en Finlandia. Por lo tanto, si su empresa tiene empleados en Finlandia, debe comprender cómo se aplican las leyes finlandesas al procesamiento de datos personales de los empleados y comunicaciones o datos de tráfico para determinar si el uso de Viva Insights es permisible.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de