Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Serviços Professionais da Microsoft
Introdução aos serviços profissionais da Microsoft
Os serviços Profissionais da Microsoft incluem um grupo diversificado de arquitetos técnicos, engenheiros, consultores e profissionais de suporte dedicados a cumprir a missão da Microsoft de capacitar os clientes a fazer mais e obter mais. Saiba mais sobre os Serviços Professionais da Microsoft visitando a página de Segurança dos Serviços Profissionais da Microsoft.
Os Serviços profissionais da Microsoft levam a sério as suas obrigações no Regulamento Geral sobre a Proteção de Dados (RGPD). As informações neste documento foram concebidas para fornecer informações sobre como as ofertas de suporte e consultoria da Microsoft que os clientes podem utilizar ao preparar as Avaliações de Impacto da Proteção de Dados (DPIAs) ao abrigo do RGPD.
Introdução às AIPDs
Nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD), os controladores de dados são obrigados a preparar um DPIA para operações de processamento que "possam resultar num elevado risco para os direitos e liberdades das pessoas singulares". Não existe nada inerente aos Serviços Profissionais da Microsoft que exija necessariamente a criação de um DPIA por um controlador de dados que o utilize. Em vez disso, a necessidade de um DPIA depende dos detalhes e contexto do tipo de serviços e da forma como o controlador de dados utiliza os serviços profissionais.
O objetivo deste documento é fornecer informações sobre os Serviços Profissionais aos Controladores de Dados, para lhes ajudar a determinar se a AIPD é necessária e, se esse for o caso, a saber que detalhes devem ser incluídos.
Parte 1: Determinar se a DPIA é necessária
O artigo 35.º do RGPD exige que um responsável pelo tratamento de dados crie uma Avaliação do Impacto da Proteção de Dados "[w]aqui um tipo de processamento, em particular, utilizando novas tecnologias e tendo em conta a natureza, o âmbito, o contexto e os fins do processamento, é susceptível de resultar num elevado risco para os direitos e liberdades das pessoas naturais." Define ainda fatores específicos que indicam um risco tão elevado, que é discutido na tabela seguinte: ao determinar se um DPIA é necessário, um controlador de dados deve considerar estes fatores, juntamente com quaisquer outros fatores relevantes, tendo em conta as implementações e utilizações específicas dos Serviços Profissionais do controlador de dados.
| Fator de risco | Informações relevantes sobre os Serviços Profissionais |
|---|---|
| Avaliação sistemática e completa dos aspectos pessoais relacionados a pessoas singulares, baseada no tratamento automatizado, incluindo a criação de perfis, sendo com base nela adotadas decisões que produzem efeitos legais relativamente à pessoa física ou que a afetem significativamente de forma semelhante; | Os serviços profissionais realizam um determinado processamento automático de rotina ou de dados, como suporte a conserto (por exemplo, para ajudar os clientes quando seu computador quebra), migração de conta e análise de vulnerabilidades do sistema. As soluções de Serviços Profissionais, excluindo o desenvolvimento de clientes abrangidas pela nota posteriormente nesta tabela, não se destinam a efetuar o processamento em que decisões se baseiam que produzem efeitos legais ou igualmente significativos em indivíduos. |
| Processamento em grande escala 1 de categorias especiais de dados (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéricos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa) ou de dados pessoais relacionados a crimes e condenações criminais; | Os Serviços Profissionais não se destinam a ser utilizados em trabalhos que exijam o processamento de categorias especiais de dados pessoais, excluindo o desenvolvimento do cliente coberto mais adiante nessa tabela. No entanto, um controlador de dados pode utilizar soluções de consultoria de Serviços Profissionais para processar as categorias especiais de dados enumeradas. Por exemplo, os Serviços Profissionais oferecem desenvolvimento de bases de dados do setor de cuidados de saúde que podem ser utilizados por um controlador de dados para processar dados pessoais associados a uma condição de estado de funcionamento. É da responsabilidade do controlador avaliar e restringir ou documentar esta utilização conforme adequado. |
| Monitoramento sistemático de uma área de acesso público em grande escala | Os Serviços Profissionais não se destinam a ser utilizados em trabalhos que exijam ou facilitem essa monitorização, excluindo o desenvolvimento de clientes abrangido pela nota posteriormente nesta tabela. Se um controlador de dados usasse Serviços Profissionais para desenvolver esse tipo de sistema ou usasse sistemas de TI para processar dados coletados por meio desse monitoramento, isso seria responsabilidade do controlador de dados, conforme descrito mais adiante nessa tabela. |
Observação
1 Com relação aos critérios que o processamento é em “grande escala”, o Recital 91 do RGPD esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes de um médico, outro profissional da saúde ou advogado. Nesses casos, a avaliação de impacto sobre a proteção dos dados não deve ser obrigatória.”
[Nota de Desenvolvimento Personalizado] Os Serviços Profissionais oferecem uma grande variedade de soluções de consultoria. Um controlador de dados poderia potencialmente pedir uma solução que, de acordo com os critérios acima, seria uma solução de alto risco. Por exemplo, um controlador de dados pode pedir que os Serviços Profissionais criem uma solução para desenvolver um motor de business intelligence para decisões de emprego ou aplicações de crédito ou uma solução que envolva o controlo de utilizadores, a utilização especializada de Inteligência Artificial (IA)/Análise ou o processamento de categorias especiais de dados pessoais.
No início de um compromisso, os serviços profissionais têm processos para avaliar e solucionar as soluções de alto risco de que possa ser solicitado a trabalhar. Como parte disso, os serviços profissionais podem exigir garantias do controlador de dados nos requisitos do RGPD (por exemplo, termos contratuais), um plano para o desenvolvimento de um AIPD ou outros critérios (por exemplo, diretrizes de operações acordadas) conforme necessário para os dados no RGPD. No entanto, independentemente das ações da Microsoft, é da responsabilidade do responsável pelo tratamento de dados desenvolver o DPIA com entrada sempre que aplicável a partir do processador dos dados do cliente.
Parte 2: Conteúdo de uma DPIA
Artigo 35 (7) determina que uma Avaliação de Impacto de Proteção de Dados especifique a finalidade de processar e uma descrição sistemática do processamento em questão. Uma descrição sistemática de uma AIPD abrangente pode incluir fatores como os tipos de dados processados, por quanto tempo os dados são mantidos, onde os dados estão localizados e transferidos, e quais terceiros podem ter acesso aos dados. Além disso, a AIPD deve incluir:
- uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos;
- uma avaliação dos riscos aos direitos e às liberdades dos indivíduos; e
- as medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais, além de demonstrar a conformidade com este Regulamento considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos.
A tabela seguinte contém informações sobre os Serviços Profissionais que são relevantes para cada um desses elementos. Tal como na Parte 1, os controladores de dados têm de considerar os detalhes fornecidos na tabela, juntamente com quaisquer outros fatores relevantes, no contexto das implementações e utilizações específicas dos Serviços Profissionais do controlador.
| Elemento de uma DPIA | Informações relevantes sobre Serviços Profissionais |
|---|---|
| Propósitos de processamento | Os propósitos de processamento de dados usando o Serviços Profissionais são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado pela Adenda de Proteção de Dados dos Serviços Profissionais da Microsoft (MPSDPA), a Microsoft, enquanto processador de dados, processa Os Dados de Suporte e Consultoria apenas para fornecer os serviços pedidos ao nosso cliente, o controlador de dados. A Microsoft não utilizará Dados de Suporte e Consultoria ou informações derivadas dos mesmos para qualquer publicidade ou fins comerciais semelhantes. |
| Os propósitos de processamento de dados usando o Serviços Profissionais são determinados pelo controlador que o implementa, configura e utiliza. | Conforme especificado pela Adenda de Proteção de Dados dos Serviços Profissionais da Microsoft (MPSDPA), a Microsoft, enquanto processador de dados, processa Os Dados de Suporte e Consultoria apenas para fornecer os serviços pedidos ao nosso cliente, o controlador de dados. A Microsoft não utilizará Dados de Suporte e Consultoria ou informações derivadas dos mesmos para qualquer publicidade ou fins comerciais semelhantes. |
| Categorias de dados pessoais processados | Dados de suporte e consultoria significa todos os dados, incluindo todo o texto, som, vídeo, ficheiros de imagem ou software, que são fornecidos à Microsoft por ou em nome do Cliente (ou que o Cliente autoriza a Microsoft a obter a partir de um Serviço Online) através de um compromisso com a Microsoft para obter Serviços Profissionais ou Suporte. Isto pode incluir informações recolhidas por telefone, chat, e-mail ou formulário Web. Pode incluir a descrição de problemas, ficheiros transferidos para a Microsoft para resolver problemas de suporte, resoluções de problemas automatizadas ou ao aceder remotamente aos sistemas de clientes com permissão do cliente. Os Dados do Cliente e os Dados de Suporte não incluem dados de faturação ou contactos do cliente, como informações de subscrição e dados de pagamento, que a Microsoft recolhe e processa na sua capacidade como controlador de dados e que estão fora do âmbito deste documento. |
| Retenção de dados | A Microsoft manterá os dados de consultoria e suporte pela duração do envolvimento do cliente, além de um período de retenção após o término do envolvimento, para garantir a qualidade e a continuidade do serviço. Por exemplo, após um caso de suporte ser fechado, os dados normalmente são mantidos por um período para garantir a capacidade de consultá-los se o problema ocorrer novamente e o caso for reaberto. Quando os Serviços Profissionais fornecem suporte, o comprimento da cativação é definido quando o caso de suporte é encerrado. Quando os Serviços Profissionais fornecem serviços de consultoria, o comprimento da cativação é muitas vezes definido pela ordem de trabalho. Noutros casos, o comprimento do compromisso é definido pela manutenção da relação comercial. Em todos os casos, os Dados de Suporte e Consultoria serão eliminados ou devolvidos a pedido ou de acordo com as instruções do cliente, sem atrasos indevidos, utilizando as capacidades descritas no Guia de Direitos do Titular dos Dados dos Serviços Profissionais. |
| Localização e transferências de dados pessoais | Devido à natureza dos Serviços Profissionais, incluindo a necessidade de fornecer suporte permanente, os dados podem ser transferidos para todo o mundo. Uma lista de localizações em que a Microsoft opera está disponível a pedido. Para serviços de consultoria, os dados podem ser mantidos no país se forem aceites no âmbito do pedido de trabalho. Para dados pessoais do Espaço Económico Europeu, da Suíça e do Reino Unido, a Microsoft garante que as transferências de dados pessoais para um país terceiro ou organização internacional estão sujeitas a salvaguardas adequadas, conforme descrito no artigo 46.o do RGPD. Além dos compromissos da Microsoft sob as Cláusulas Contratuais Padrão para processadores e outros modelos de contratos, a Microsoft continua a cumprir os termos da Estrutura da Defesa de Privacidade UE-EUA, mas não mais dependerá dela como base para a transferência de dados pessoais da UE/EEE para os Estados Unidos. |
| Compartilhamento de dados com terceiros | A Microsoft compartilha dados com terceiros que atuam como nossos subprocessadores para oferecer suporte a funções como suporte técnico e ao cliente, manutenção de serviços e outras operações. Todos os subcontratantes para os quais a Microsoft transfere Dados de Suporte e Consultoria terão celebrado contratos escritos com a Microsoft que não sejam menos protetores do que os termos de proteção de dados do MPSDPA. Todos os subprocessadores de terceiros com os quais os Dados de Suporte e Consultoria são partilhados no MPSDPA estão incluídos na Lista de Contratantes de Suporte Comercial da Microsoft. A Microsoft não divulgará o Suporte e a Consultoria de Dados à aplicação da lei, a menos que seja exigido por lei. Se a aplicação da lei contactar a Microsoft com um pedido de Suporte e Dados de Consultoria, a Microsoft tenta redirecionar a agência de aplicação da lei para pedir os dados diretamente ao cliente. Se for obrigada a divulgar Dados de Suporte e Consultoria à aplicação da lei, a Microsoft notificará prontamente o cliente e fornecerá uma cópia do pedido, a menos que esteja legalmente proibida de o fazer. Após a receção de qualquer outro pedido de terceiros para Dados de Suporte e Consultoria, a Microsoft notificará prontamente o cliente, a menos que seja proibido por lei. A Microsoft rejeita o pedido, a menos que seja exigido por lei para cumprir. Se o pedido for válido, a Microsoft tenta redirecionar terceiros para pedir os dados diretamente ao cliente. |
| Direitos do titular de dados | Ao operar como processador, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais dos seus titulares de dados e a capacidade de satisfazer pedidos de titulares de dados quando exercem os seus direitos ao abrigo do RGPD. Fazemos isso de maneira consistente com a funcionalidade do produto e nosso papel como processador. Se recebermos um pedido dos dados do cliente sujeitos ao exercício de um ou mais dos seus direitos ao abrigo do RGPD, redirecionamos os dados sujeitos a fazer o pedido diretamente para o controlador de dados. A Documentação de Solicitação dos Titulares dos Dados aos Serviços Profissionais sobre o GDPR fornece uma descrição de como o cliente pode lidar com as obrigações referentes aos seus dados pessoais no Serviços Profissionais. |
| Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Esta avaliação depende das necessidades e finalidades do processamento do controlador. Em relação ao processamento realizado pela Microsoft, ele é necessário e proporcional ao propósito de fornecer os serviços ao controlador de dados. A Microsoft compromete-se a fazê-lo no MPSDPA. |
| Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos para os direitos e liberdades dos titulares dos dados da utilização dos Serviços Profissionais são uma função de como e em que contexto o controlador de dados implementa, configura e utiliza os serviços profissionais e quaisquer soluções fornecidas pelos Serviços Profissionais. No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para resolver estes riscos são abordadas mais à frente neste artigo. |
| Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos. | A Microsoft está comprometida em ajudar a proteger a segurança das informações do cliente. Em conformidade com as cláusulas do Artigo 32 do RGPD, a Microsoft implementou, manterá e seguirá as medidas técnicas e organizacionais apropriadas com a intenção de proteger os Dados do Cliente e de Suporte contra o acesso, a divulgação, a alteração, a perda ou a destruição acidental, não autorizada ou ilegal. Além disso, a Microsoft cumpre todas as demais obrigações do RGPD que se aplicam a processadores de dados, incluindo, entre outras, avaliações do impacto na proteção dos dados e manutenção de registros. |