Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Microsoft Azure
Nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD), os controladores de dados são obrigados a preparar uma Avaliação do Impacto da Proteção de Dados (DPIA) para operações de processamento que "possam resultar num risco elevado para os direitos e liberdades das pessoas singulares". Não existe nada inerente ao próprio Microsoft Azure que exija necessariamente a criação de um DPIA por um controlador de dados que o utilize. Em vez disso, se uma AIPD é necessária, dependerá dos detalhes e do contexto de como o controlador de dados implantará, configurará e usará o serviço de processador de dados do Microsoft Azure. Em todo caso, uma AIPD deve começar no início de um projeto e ser executada em paralelo ao processo de planejamento e desenvolvimento.
O objetivo deste documento é fornecer informações sobre o Microsoft Azure aos Controladores de Dados, para lhes ajudar a determinar se a AIPD é necessária e, se esse for o caso, a saber que detalhes devem ser incluídos.
Observação
A Microsoft não está fornecendo nenhum conselho legal neste documento. Este documento está sendo fornecido apenas para fins informativos. Aconselhamos os clientes a trabalhar com os agentes de privacidade (e/ou DPD (Diretor de Proteção de Dados) quando designados) e/ou de aconselhamento jurídico para determinar a necessidade e conteúdo de qualquer AIPD relacionada ao uso do Microsoft Azure ou de qualquer outro serviço online da Microsoft.
O Artigo 35 da RGDP exige que um controlador de dados crie uma Avaliação de Impacto da Proteção de Dados (AIPD) "quando um tipo de tratamento, em particular utilizando novas tecnologias, e levando em conta a natureza, escopo, contexto e finalidades do tratamento, for suscetível de resultar em alto risco para os direitos e liberdades das pessoas físicas". Apresenta ainda fatores específicos que indicariam um risco tão elevado, o que é discutido na tabela a seguir: Para determinar se uma AIDP é necessária, um controlador de dados deve considerar esses fatores, juntamente com quaisquer outros fatores relevantes, considerando as implementações e usos específicos do Microsoft Azure por parte do controlador.
Alto fator de risco | Informações relevantes sobre o Microsoft Azure |
---|---|
Uma avaliação sistemática e extensiva dos aspectos pessoais relacionados com pessoas singulares baseadas no processamento automatizado, incluindo a criação de perfis e em que decisões se baseiam que produzem efeitos jurídicos relativos à pessoa natural ou afetam igualmente significativamente a pessoa singular. | Os serviços do Microsoft Azure não foram concebidos para efetuar o processamento em que decisões são baseadas que produzem efeitos legais ou igualmente significativos em indivíduos. No entanto, como o Azure é um serviço altamente personalizável, um controlador de dados pode potencialmente configurar os serviços do Azure para serem utilizados para esse processamento. Os controladores devem fazer esta determinação com base na utilização do Azure. |
Processamento em grande escala de categorias especiais de dados (dados pessoais revelando origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação em sindicatos e o processamento de dados genéticos, dados biométricos para identificar exclusivamente uma pessoa física, dados relativos saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular), ou de dados pessoais relativos a condenações penais e infrações. | O Microsoft Azure não foi concebido para processar categorias especiais de dados pessoais em grande escala. No entanto, um controlador de dados pode utilizar o Microsoft Azure para processar as categorias especiais de dados enumeradas. O Microsoft Azure é um serviço altamente personalizável que permite ao cliente controlar ou processar dados pessoais, incluindo categorias especiais de dados pessoais. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e possui pouca ou nenhuma informação para esse uso. Cabe ao controlador de dados determinar as utilizações adequadas dos dados do controlador de dados. |
Um monitoramento sistemático de uma área de acesso público em grande escala. | O Microsoft Azure não foi concebido para realizar ou facilitar essa monitorização em grande escala. No entanto, um controlador de dados pode utilizar o Azure para processar dados recolhidos através dessa monitorização. O Microsoft Azure é um serviço altamente personalizável que permite ao cliente controlar ou processar qualquer tipo de dados, incluindo dados de monitorização. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e possui pouca ou nenhuma informação para esse uso. Cabe ao controlador de dados determinar as utilizações adequadas dos dados do controlador de dados. |
O n.º 7 do artigo 35.º do RGPD determina que uma Avaliação do Impacto da Proteção de Dados especifica as finalidades do processamento e uma descrição sistemática do processamento previsto. Uma descrição sistemática de um DPIA abrangente pode incluir fatores como os tipos de dados processados, durante quanto tempo os dados são retidos, onde os dados estão localizados e transferidos, e que terceiros podem ter acesso aos dados e ser suportados por um diagrama de fluxo de dados. Além disso, a AIPD deve incluir:
- Uma avaliação da necessidade e proporcionalidade das operações de processamento em relação aos fins;
- Uma avaliação dos riscos para os direitos e liberdades das pessoas singulares; e
- As medidas previstas para fazer face aos riscos, incluindo salvaguardas, medidas de segurança e mecanismos para assegurar a protecção dos dados pessoais e demonstrar o cumprimento do presente regulamento tendo em conta os direitos e os interesses legítimos dos titulares dos dados e de outras pessoas em causa.
A tabela seguinte contém informações sobre o Microsoft Azure que são relevantes para cada um desses elementos. Tal como na Parte 1, os controladores de dados têm de considerar os detalhes fornecidos na tabela, juntamente com quaisquer outros fatores relevantes, no contexto das implementações e utilizações específicas do controlador do Microsoft Azure.
Elemento de uma DPIA | Informações relevantes sobre o Microsoft Azure |
---|---|
Propósitos de processamento | Os propósitos de processamento de dados usando o Microsoft Azure são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado pela Adenda de Proteção de Dados (DPA) dos Termos e Produtos e Produtos do Produto, a Microsoft, enquanto processador de dados, processa os Dados do Cliente para fornecer aos Clientes os Serviços Online de acordo com as instruções documentadas do Cliente. Conforme detalhado na Adenda padrão de Proteção de Dados (DPA) dos Produtos e Produtos e Produtos, a Microsoft também utiliza Dados Pessoais para suportar um conjunto limitado de operações empresariais. A Microsoft é responsável pelo processamento de dados pessoais para suportar estas operações empresariais específicas. Geralmente, a Microsoft agrega Dados Pessoais antes de os utilizar para as nossas operações empresariais, eliminando a capacidade da Microsoft de identificar indivíduos específicos e utiliza dados pessoais na forma menos identificável que irá suportar o processamento necessário para operações empresariais. A Microsoft não utilizará os Dados do Cliente ou informações derivadas dos mesmos para criação de perfis ou publicidade ou fins comerciais semelhantes. Nota: o Microsoft Azure é uma plataforma de cloud online para processamento que é composta por vários serviços online discretos, cada um dos quais tem objetivos distintos de processamento. Pode encontrar descrições de cada oferta de serviço do Microsoft Azure aqui. O Microsoft Azure processa dados pessoais apenas para fornecer aos clientes os seus serviços online incluindo finalidades compatíveis com o fornecimento desses serviços, tais como personalização, segurança, fraude e prevenção de software maligno, resolução de problemas e melhoria. |
Categorias de dados pessoais processados |
Dados do Cliente: todos os dados, incluindo todos os ficheiros de texto, som, vídeo ou imagem e software, fornecidos à Microsoft por ou em nome de um cliente através da utilização do serviço empresarial. Os Dados do Cliente incluem (1) informações identificáveis dos utilizadores finais (por exemplo, nomes de utilizador e informações de contacto no Microsoft Entra ID) e conteúdo do cliente que um cliente carrega ou cria em serviços específicos (por exemplo, conteúdo do cliente numa conta de Armazenamento do Azure, conteúdo do cliente de uma Base de Dados do SQL do Azure ou imagem de máquina virtual de um cliente no Azure Máquinas Virtuais). Dados Gerados pelo Serviço: estes são os dados gerados ou derivados pela Microsoft através do funcionamento do serviço, como dados de utilização ou desempenho. A maioria desses dados contém identificadores pseudônimos gerados pela Microsoft. Dados de Suporte: esses dados são fornecidos à Microsoft pelo Cliente ou em seu nome (ou esse Cliente autoriza a Microsoft a obtê-los de um Serviço Online) através de um compromisso com a Microsoft para obter suporte técnico para os Serviços Online. Para obter mais informações sobre os dados processados pelo Azure, veja Os Termos do Produto, incluindo o [Contrato de Processamento de Dados de Produtos e Serviços (DPA)] () ehttps://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPAo Centro de Confiança da Microsoft. |
Retenção de dados | A Microsoft irá reter e processar os Dados do Cliente durante o direito do Cliente de utilizar o Serviço Online e até que todos os Dados do Cliente sejam obtidos pelo Cliente ou eliminados de acordo com os termos da Adenda de Proteção de Dados (DPA) dos Termos e Produtos e Produtos e Serviços. Durante o período da subscrição do Cliente, o Cliente tem a capacidade de aceder e extrair Dados do Cliente armazenados em cada Serviço Online. Exceto em avaliações gratuitas e serviços do LinkedIn, a Microsoft reterá os Dados do Cliente armazenados no Serviço Online em uma conta de função limitada por 90 dias após a expiração ou o término da assinatura do Cliente, para que o Cliente possa extrair os dados. Após o período de retenção de 90 dias, a Microsoft desabilitará a conta do Cliente e excluirá os Dados do Cliente. O cliente pode eliminar dados pessoais de acordo com um Pedido de Titular de Dados com as capacidades descritas na Documentação do RGPD do Pedido de Titular de Dados do Azure. |
Localização e transferências de dados pessoais | Os clientes têm a capacidade de aprovisionar Dados do Cliente inativos em regiões geográficas especificadas, sujeitos a determinadas exceções, conforme definido nos Termos do Produto e na Adenda de Proteção de Dados (DPA) dos Produtos e Serviços Microsoft. Também podem ser encontrados detalhes adicionais sobre as implementações de serviços e a residência dos dados na Adenda à Proteção de Dados da Microsoft (DPA) para os Termos do Produto e na página Web Infraestrutura Global do Azure . Relativamente aos dados pessoais transferidos para fora do Espaço Económico Europeu, da Suíça e do Reino Unido, a Microsoft garante que as transferências de Dados Pessoais para um país terceiro ou organização internacional estão sujeitas a salvaguardas adequadas, conforme descrito no artigo 46.º do RGPD. Além dos compromissos da Microsoft ao abrigo das Cláusulas Contratuais Standard para processadores e outros contratos de modelo, a Microsoft cumpre os termos do Data Privacy Framework. |
Compartilhamento de dados com subprocessadores de terceiros | A Microsoft partilha dados com terceiros que atuam como os nossos subprocessadores (conforme definido no RGPD) para suportar funções como suporte técnico e de cliente, manutenção do serviço e outras operações. Todos os subprocessadores para os quais a Microsoft transfere Dados do Cliente, Dados de Suporte ou Dados Pessoais terão efetuado contratos escritos com a Microsoft que não sejam menos protetores do que a Adenda de Proteção de Dados dos Produtos e Serviços Microsoft. Todos os subprocessadores de terceiros com os quais os Dados de Cliente dos Principais Serviços Online da Microsoft são partilhados estão incluídos na lista Subprocessador dos Serviços Online. Todos os subprocessadores de terceiros que podem aceder aos Dados de Suporte (incluindo os Dados do Cliente que os clientes optam por partilhar durante as interações de suporte) estão incluídos na Lista de Subprocessadores dos Serviços Online. |
Direitos das entidades de dados | Ao operar como um processador, a Microsoft disponibiliza aos clientes (também conhecido como controlador de dados) os dados pessoais dos seus titulares dos dados e a capacidade de preencher as solicitações dos titulares dos dados quando eles exercitam suas permissões sob o GDPR. A Microsoft faz isso de maneira consistente com a funcionalidade do produto e seu papel como processador de dados. Se a Microsoft receber um pedido dos titulares dos dados do cliente para exercer um ou mais dos seus direitos ao abrigo do RGPD, o pedido é redirecionado para o controlador de dados. O Guia de Solicitações do Titular de Dados do Azure fornece uma descrição ao controlador de dados sobre como dar suporte aos direitos do titular de dados usando os recursos do Azure. Os pedidos de dados sujeitos a direitos de exercício ao abrigo do RGPD para dados pessoais processados para suportar os processos empresariais legítimos devem ser direcionados para a Microsoft, conforme clarificado na Declaração de Privacidade da Microsoft. Geralmente, a Microsoft agrega pessoalmente antes de utilizá-la para as nossas operações empresariais e não está em condições de identificar dados pessoais de uma pessoa específica no agregado. Esta ação reduz o risco de privacidade para o indivíduo. Quando a Microsoft não está em posição de identificar o indivíduo, não pode suportar direitos de titular de dados para acesso, eliminação, portabilidade ou restrição ou objecção de processamento. A Documentação de RGPD da Solicitação do Titular de Dados do Azure fornece uma descrição de como oferecer suporte aos direitos do titular dos dados usando os recursos do Azure. |
Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Essa avaliação depende das necessidades e finalidades do processamento do controlador de dados. A Microsoft toma medidas como a agregação de dados pessoais utilizados pela Microsoft para suportar operações empresariais para suportar o aprovisionamento dos serviços, minimizando o risco de esse processamento para titulares de dados que utilizam o serviço. No que se refere ao processamento realizado pela Microsoft, esse processamento é necessário e proporcional à prestação dos serviços ao controlador de dados. |
Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos para os direitos e liberdades dos titulares dos dados da utilização do Microsoft Azure dependerão de como e em que contexto o controlador de dados implementa, configura e utiliza o Microsoft Azure. A Microsoft toma medidas como a agregação de dados pessoais utilizados pela Microsoft para suportar operações empresariais para suportar o aprovisionamento dos serviços, minimizando o risco de esse processamento para titulares de dados que utilizam o serviço. No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para lidar com esses riscos são abordadas nos Termos do Produto, conforme detalhado mais adiante neste artigo. |
Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos | A Microsoft está empenhada em ajudar a proteger a segurança dos Dados do Cliente. As medidas de segurança que a Microsoft toma são descritas detalhadamente nos Termos do Produto. A Microsoft cumpre os rígidos padrões de segurança e a metodologia de proteção de dados líder do setor. A Microsoft está melhorando continuamente seus sistemas para lidar com novas ameaças. Estão disponíveis mais informações sobre a governação da cloud e as práticas de privacidade na página Gerir a conformidade do Centro de Confiança na cloud. A Microsoft toma medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processa. Estas medidas incluem, mas não se limitam a, políticas e práticas internas de privacidade, compromissos contratuais e certificações padrão internacionais e regionais. Estão disponíveis mais informações na página Privacidade do Centro de Confiança. A Microsoft fornece materiais de privacidade e segurança significativos e transparentes para o cliente para ajudar a explicar a utilização e o processamento de dados pessoais da Microsoft. Os clientes são incentivados a entrar em contato com a Microsoft com suas perguntas. Além disso, quando a Microsoft atua como um processador de dados, está em conformidade com as disposições aplicáveis do RGPD que se aplicam aos processadores de dados. Quando a Microsoft processa dados pessoais para as suas operações empresariais, cumpre as obrigações do RGPD que se aplicam aos controladores de dados. |