Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Pode encontrar detalhes adicionais no artigo Resumo do RGPD. Este documento orienta você a informações relacionadas a Avaliações do Impacto sobre a Proteção de Dados (DPIAs) no GDPR, usando produtos e serviços da Microsoft.
Terminologia
Definições úteis para os termos do RGPD usados neste documento:
- Controlador de Dados (Controlador): uma pessoa jurídica, uma autoridade pública, uma agência ou outro corpo que, isoladamente ou em conjunto com outras pessoas, determina a finalidade e o meio de processamento de dados pessoais.
- Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.
- Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.
- Dados do cliente: dados produzidos e armazenados nas operações do dia a dia para o trabalho em andamento.
O que é o DPIA?
O GDPR exige que os controladores preparem uma avaliação de impacto de proteção de dados (DPIA) para operações que são "prováveis em resultar em alto risco para os direitos e a liberdade de pessoas naturais". Não há nada inerente aos produtos e serviços Microsoft que precisem da criação de um DPIA. No entanto, como produtos e serviços da Microsoft são altamente personalizáveis, pode ser necessário um DPIA dependendo dos detalhes da sua configuração da Microsoft. A Microsoft não tem controle e pouca ou nenhuma percepção dessas informações. Você, como um controlador de dados deve determinar os usos apropriados dos seus dados.
DPIA em ação
As diretrizes DPIA se aplicam ao Office 365, ao Azure, ao Dynamics 365 e a suporte da Microsoft e a serviços profissionais. Essas diretrizes incluem considerações sobre:
Quando um DPIA é necessário?
Os fatores de risco listados abaixo devem ser resolvidos quando se avaliam se deseja concluir um DPIA. Outros fatores possíveis e detalhes são encontrados na parte 1 de cada uma das diretrizes.
- Uma avaliação sistemática e abrangente dos dados com base no processamento automático.
- Processamento em grande escala de categorias especiais de dados pessoais (os dados revelam informações de forma exclusiva, identificando uma pessoa natural) ou de dados relacionados a condenações e delitos penais.
- Monitoramento sistemático de uma área de acesso público em grande escala.
O RGPD esclarece :"O processamento de dados pessoais não deve ser considerado em grande escala se o processamento diz respeito a dados pessoais de pacientes ou clientes por um médico individual, outro profissional de saúde ou advogado. Nestes casos, uma avaliação do impacto da proteção de dados não deve ser obrigatória."
O que é necessário para concluir um DPIA?
Um DPIA deve fornecer informações específicas sobre o processamento desejado, que é detalhado na parte 2 das instruções. Essas informações incluem:
- Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos.
- Uma avaliação dos riscos aos direitos e às liberdades dos indivíduos.
- As medidas desejadas para lidar com os riscos, incluindo proteções, medidas de segurança e mecanismos, para garantir a proteção de dados pessoais e demonstrar a conformidade com a RGDP.
- Propósito de processar
- Categorias de dados pessoais processados
- Retenção de dados
- Localização e transferências de dados pessoais
- Compartilhamento de dados com subprocessadores de terceiros
- Compartilhamento de dados com terceiros independentes
- Direitos das entidades de dados
Considerações adicionais
Abaixo, detalhes específicos que podem ser relevantes para a implementação da Microsoft.
- Office 365: este documento aplica-se a aplicações e serviços Office 365, incluindo, entre outros, Exchange Online, SharePoint, Viva Engage, Skype for Business e Power BI. Confira as tabelas1 e 2 para obter mais detalhes.
- Azure: Aconselhamos os clientes a trabalhar com os agentes de privacidade e de aconselhamento jurídico para determinar a necessidade e conteúdo de qualquer DPIAs relacionada ao uso do Microsoft Azure.
- Dynamics 365: o conteúdo de um DPIA pode variar de acordo com as ferramentas Dynamics 365 que está a utilizar. Para obter detalhes específicos, consulte Parte 2 do conteúdo de um DPIA.
- Windows: este documento se aplica à configuração dos dados de diagnóstico do Windows processador. Os clientes são incentivados a trabalhar com seus agentes de privacidade e consultores legais para determinar a necessidade e o conteúdo de qualquer DPIA relacionada ao uso da configuração do dados de diagnóstico do Windows processador.
- Suporte da Microsoft e Serviços Profissionais: os Serviços Profissionais não realizam determinados processamentos de dados automatizados ou rotineiros, nem se destinam a processar categorias especiais ou a realizar tarefas que facilitem ou exijam a monitorização de dados acessíveis publicamente. Para mais informações, confira Parte 1 — Determinar se a DPIA é necessária. Os controladores devem considerar os elementos do DPIA descritos acima, juntamente com outros fatores relevantes, no contexto das implementações específicas do controlador e do uso de serviços profissionais. Para obter informações sobre serviços profissionais, consultePart 2 — conteúdo de um DPIA.