Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Serviços Professionais da Microsoft
Introdução aos serviços profissionais da Microsoft
Os serviços Profissionais da Microsoft incluem um grupo diversificado de arquitetos técnicos, engenheiros, consultores e profissionais de suporte dedicados a cumprir a missão da Microsoft de capacitar os clientes a fazer mais e obter mais. Saiba mais sobre os Serviços Professionais da Microsoft visitando a página de Segurança dos Serviços Profissionais da Microsoft.
Os Serviços profissionais da Microsoft levam a sério as suas obrigações no Regulamento Geral sobre a Proteção de Dados (RGPD). As informações neste documento foram projetadas para fornecer informações sobre como as ofertas de suporte e consultoria da Microsoft que os clientes podem usar ao preparar DPIAs (Avaliações de Impacto de Proteção de Dados) em GDPR.
Introdução às AIPDs
De acordo com o GdpR (Regulamento Geral de Proteção de Dados), os controladores de dados são obrigados a preparar uma DPIA para operações de processamento que "provavelmente resultarão em um alto risco para os direitos e liberdades das pessoas naturais". Não há nada inerente aos Serviços Profissionais da Microsoft que necessariamente exija a criação de uma DPIA por um controlador de dados usando-a. Em vez disso, se uma DPIA é necessária depende dos detalhes e do contexto do tipo de serviços e de como o controlador de dados usa os serviços profissionais.
O objetivo deste documento é fornecer informações sobre os Serviços Profissionais aos Controladores de Dados, para lhes ajudar a determinar se a AIPD é necessária e, se esse for o caso, a saber que detalhes devem ser incluídos.
Parte 1: Determinar se a DPIA é necessária
O artigo 35 do GDPR exige que um controlador de dados crie uma Avaliação de Impacto de Proteção de Dados '[w]aqui um tipo de processamento em particular usando novas tecnologias e levando em conta a natureza, o escopo, o contexto e as finalidades do processamento, provavelmente resultará em um alto risco para os direitos e liberdades das pessoas naturais." Ele define ainda fatores específicos que indicam um risco tão alto, que é discutido na tabela a seguir: Ao determinar se uma DPIA é necessária, um controlador de dados deve considerar esses fatores, juntamente com outros fatores relevantes, à luz das implementações e usos específicos do controlador de dados dos Serviços Profissionais.
| Fator de risco | Informações relevantes sobre os Serviços Profissionais |
|---|---|
| Avaliação sistemática e completa dos aspectos pessoais relacionados a pessoas singulares, baseada no tratamento automatizado, incluindo a criação de perfis, sendo com base nela adotadas decisões que produzem efeitos legais relativamente à pessoa física ou que a afetem significativamente de forma semelhante; | Os serviços profissionais realizam um determinado processamento automático de rotina ou de dados, como suporte a conserto (por exemplo, para ajudar os clientes quando seu computador quebra), migração de conta e análise de vulnerabilidades do sistema. As soluções de Serviços Profissionais, excluindo o desenvolvimento do cliente abordado na nota posteriormente nesta tabela, não se destinam a executar o processamento em quais decisões são baseadas que produzem efeitos legais ou igualmente significativos sobre indivíduos. |
| Processamento em grande escala 1 de categorias especiais de dados (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéricos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa) ou de dados pessoais relacionados a crimes e condenações criminais; | Os Serviços Profissionais não se destinam a ser utilizados em trabalhos que exijam o processamento de categorias especiais de dados pessoais, excluindo o desenvolvimento do cliente coberto mais adiante nessa tabela. No entanto, um controlador de dados poderia usar soluções de consultoria dos Serviços Profissionais para processar as categorias especiais enumeradas de dados. Por exemplo, os Serviços Profissionais oferecem desenvolvimento de banco de dados do setor de saúde que poderia ser usado por um controlador de dados para processar dados pessoais associados a uma condição de integridade. É responsabilidade do controlador avaliar e restringir ou documentar esse uso conforme apropriado. |
| Monitoramento sistemático de uma área de acesso público em grande escala | Os Serviços Profissionais não se destinam a ser utilizados em um trabalho que exija ou facilite esse monitoramento, excluindo o desenvolvimento do cliente coberto pela nota posteriormente nesta tabela. Se um controlador de dados usasse Serviços Profissionais para desenvolver esse tipo de sistema ou usasse sistemas de TI para processar dados coletados por meio desse monitoramento, isso seria responsabilidade do controlador de dados, conforme descrito mais adiante nessa tabela. |
Observação
1 Com relação aos critérios que o processamento é em “grande escala”, o Recital 91 do RGPD esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes de um médico, outro profissional da saúde ou advogado. Nesses casos, a avaliação de impacto sobre a proteção dos dados não deve ser obrigatória.”
[Observação de desenvolvimento personalizado] Os Serviços Profissionais oferecem uma ampla variedade de soluções de consultoria. Um controlador de dados poderia potencialmente solicitar uma solução que, de acordo com os critérios acima, seria uma solução de alto risco. Por exemplo, um controlador de dados pode solicitar que os Serviços Profissionais criem uma solução para desenvolver um mecanismo de business intelligence para decisões de emprego ou aplicativos de crédito ou uma solução que envolva o acompanhamento do usuário, o uso especializado de INTELIGÊNCIA Artificial (IA)/Analytics ou o processamento de categorias especiais de dados pessoais.
No início de um compromisso, os serviços profissionais têm processos para avaliar e solucionar as soluções de alto risco de que possa ser solicitado a trabalhar. Como parte disso, os serviços profissionais podem exigir garantias do controlador de dados nos requisitos do RGPD (por exemplo, termos contratuais), um plano para o desenvolvimento de um AIPD ou outros critérios (por exemplo, diretrizes de operações acordadas) conforme necessário para os dados no RGPD. No entanto, independentemente das ações da Microsoft, é responsabilidade do controlador de dados desenvolver a DPIA com a entrada quando aplicável do processador dos dados do cliente.
Parte 2: Conteúdo de uma DPIA
Artigo 35 (7) determina que uma Avaliação de Impacto de Proteção de Dados especifique a finalidade de processar e uma descrição sistemática do processamento em questão. Uma descrição sistemática de uma AIPD abrangente pode incluir fatores como os tipos de dados processados, por quanto tempo os dados são mantidos, onde os dados estão localizados e transferidos, e quais terceiros podem ter acesso aos dados. Além disso, a AIPD deve incluir:
- uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos;
- uma avaliação dos riscos aos direitos e às liberdades dos indivíduos; e
- as medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais, além de demonstrar a conformidade com este Regulamento considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos.
A tabela a seguir contém informações sobre serviços profissionais relevantes para cada um desses elementos. Assim como na Parte 1, os controladores de dados devem considerar os detalhes fornecidos na tabela, juntamente com outros fatores relevantes, no contexto das implementações e usos específicos do controlador dos Serviços Profissionais.
| Elemento de uma DPIA | Informações relevantes sobre Serviços Profissionais |
|---|---|
| Propósitos de processamento | Os propósitos de processamento de dados usando o Serviços Profissionais são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado pelo Microsoft Professional Services Data Protection Addendum (MPSDPA), a Microsoft, como processador de dados, processa dados de suporte e consultoria apenas para fornecer os serviços solicitados ao nosso cliente, o controlador de dados. A Microsoft não usará dados de suporte e consultoria ou informações derivadas dele para qualquer publicidade ou fins comerciais semelhantes. |
| Os propósitos de processamento de dados usando o Serviços Profissionais são determinados pelo controlador que o implementa, configura e utiliza. | Conforme especificado pelo Microsoft Professional Services Data Protection Addendum (MPSDPA), a Microsoft, como processador de dados, processa dados de suporte e consultoria apenas para fornecer os serviços solicitados ao nosso cliente, o controlador de dados. A Microsoft não usará dados de suporte e consultoria ou informações derivadas dele para qualquer publicidade ou fins comerciais semelhantes. |
| Categorias de dados pessoais processados | Dados de suporte e consultoria significam todos os dados, incluindo todos os dados de texto, som, vídeo, arquivos de imagem ou software, fornecidos à Microsoft por ou em nome do Cliente (ou que o Cliente autoriza a Microsoft a obter de um Serviço Online) por meio de um compromisso com a Microsoft para obter Serviços Profissionais ou Suporte. Isso pode incluir informações coletadas por telefone, chat, email ou formulário Web. Ele pode incluir descrição de problemas, arquivos transferidos para a Microsoft para resolve problemas de suporte, solucionadores de problemas automatizados ou acessando sistemas de clientes remotamente com permissão do cliente. Dados do cliente e dados de suporte não incluem dados de contato ou cobrança do cliente, como informações de assinatura e dados de pagamento, que a Microsoft coleta e processa em sua capacidade como controlador de dados e que está fora do escopo deste documento. |
| Retenção de dados | A Microsoft manterá os dados de consultoria e suporte pela duração do envolvimento do cliente, além de um período de retenção após o término do envolvimento, para garantir a qualidade e a continuidade do serviço. Por exemplo, após um caso de suporte ser fechado, os dados normalmente são mantidos por um período para garantir a capacidade de consultá-los se o problema ocorrer novamente e o caso for reaberto. Quando os Serviços Profissionais fornecem suporte, o comprimento de engajamento é definido quando o caso de suporte é encerrado. Quando os Serviços Profissionais fornecem serviços de consultoria, o comprimento de engajamento geralmente é definido pela ordem de trabalho. Em outros casos, o comprimento de engajamento é definido pela manutenção da relação comercial. Em todos os casos, os Dados de Suporte e Consultoria serão excluídos ou retornados sob solicitação ou de acordo com as instruções do cliente sem atrasos indevidos usando os recursos descritos no Guia de Direitos de Entidade de Dados dos Serviços Profissionais. |
| Localização e transferências de dados pessoais | Devido à natureza dos Serviços Profissionais, incluindo a necessidade de fornecer suporte 24 horas por dia, os dados podem ser transferidos em todo o mundo. Uma lista de locais em que a Microsoft opera está disponível sob solicitação. Para serviços de consultoria, os dados poderão ser mantidos no país se acordados na ordem de trabalho. Para dados pessoais da Área Econômica Europeia, Suíça e Reino Unido, a Microsoft garante que as transferências de dados pessoais para um país terceiro ou uma organização internacional estejam sujeitas a salvaguardas apropriadas, conforme descrito no artigo 46º do GDPR. Além dos compromissos da Microsoft sob as Cláusulas Contratuais Padrão para processadores e outros modelos de contratos, a Microsoft continua a cumprir os termos da Estrutura da Defesa de Privacidade UE-EUA, mas não mais dependerá dela como base para a transferência de dados pessoais da UE/EEE para os Estados Unidos. |
| Compartilhamento de dados com terceiros | A Microsoft compartilha dados com terceiros que atuam como nossos subprocessadores para oferecer suporte a funções como suporte técnico e ao cliente, manutenção de serviços e outras operações. Todos os subcontratados aos quais a Microsoft transfere dados de suporte e consultoria terão firmado contratos escritos com a Microsoft que não sejam menos protetores do que os termos de proteção de dados do MPSDPA. Todos os subprocessadores de terceiros com os quais os dados de suporte e consultoria são compartilhados sob o MPSDPA estão incluídos na Lista de Empreiteiros de Suporte Comercial da Microsoft. A Microsoft não divulgará dados de suporte e consultoria para a aplicação da lei, a menos que seja exigido por lei. Se a aplicação da lei entrar em contato com a Microsoft com uma demanda por Dados de Suporte e Consultoria, a Microsoft tentará redirecionar a agência de aplicação da lei para solicitar os dados diretamente do cliente. Se for obrigada a divulgar dados de suporte e consultoria para a aplicação da lei, a Microsoft notificará prontamente o cliente e fornecerá uma cópia da demanda, a menos que seja legalmente proibido de fazê-lo. Após o recebimento de qualquer outra solicitação de terceiros para dados de suporte e consultoria, a Microsoft notificará prontamente o cliente, a menos que seja proibido por lei. A Microsoft rejeita a solicitação, a menos que seja necessária por lei para cumprir. Se a solicitação for válida, a Microsoft tentará redirecionar o terceiro para solicitar os dados diretamente do cliente. |
| Direitos do titular de dados | Ao operar como um processador, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais de seus titulares de dados e a capacidade de atender às solicitações de titulares de dados quando eles exercem seus direitos sob o GDPR. Fazemos isso de maneira consistente com a funcionalidade do produto e nosso papel como processador. Se recebermos uma solicitação dos dados do cliente para exercer um ou mais de seus direitos sob o GDPR, redirecionaremos o sujeito de dados para fazer sua solicitação diretamente para o controlador de dados. A Documentação de Solicitação dos Titulares dos Dados aos Serviços Profissionais sobre o GDPR fornece uma descrição de como o cliente pode lidar com as obrigações referentes aos seus dados pessoais no Serviços Profissionais. |
| Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Essa avaliação depende das necessidades e das finalidades de processamento do controlador. Em relação ao processamento realizado pela Microsoft, ele é necessário e proporcional ao propósito de fornecer os serviços ao controlador de dados. A Microsoft se compromete com isso no MPSDPA. |
| Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos aos direitos e liberdades dos titulares de dados do uso dos Serviços Profissionais são uma função de como e em que contexto o controlador de dados implementa, configura e usa os serviços profissionais e quaisquer soluções fornecidas pelos Serviços Profissionais. No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para resolver esses riscos são discutidas posteriormente neste artigo. |
| Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos. | A Microsoft está comprometida em ajudar a proteger a segurança das informações do cliente. Em conformidade com as cláusulas do Artigo 32 do RGPD, a Microsoft implementou, manterá e seguirá as medidas técnicas e organizacionais apropriadas com a intenção de proteger os Dados do Cliente e de Suporte contra o acesso, a divulgação, a alteração, a perda ou a destruição acidental, não autorizada ou ilegal. Além disso, a Microsoft cumpre todas as demais obrigações do RGPD que se aplicam a processadores de dados, incluindo, entre outras, avaliações do impacto na proteção dos dados e manutenção de registros. |
Saiba mais
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de