Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Microsoft Office 365
De acordo com o Regulamento Geral sobre a Proteção de Dados (GDPR), os controladores de dados devem preparar uma Avaliação de Impacto da Proteção de Dados (DPIA) para operações de processamento que "provavelmente resultarão em um alto risco para os direitos e liberdades das pessoas físicas". Não há nada inerente ao Microsoft Office 365 que necessariamente exija a criação de uma DPIA por um controlador de dados que o utiliza. Em vez disso, a necessidade de um DPIA dependerá dos detalhes e do contexto de como você, como controlador de dados, implanta, configura e usa o Office 365.
A Parte 1 deste documento fornece informações sobre o Office 365 para ajudá-lo, como um controlador de dados, a determinar se uma DPIA é necessária. Se a resposta for 'sim', as partes 2 e 3 deste documento fornecem informações importantes da Microsoft que podem ajudar a redigí-lo. Especificamente, a Parte 2 fornece respostas aplicáveis a todos os serviços do Office 365 para cada um dos elementos necessários de uma DPIA. A Parte 3 fornece informações adicionais específicas do produto para uma série de necessidades de informações mais relevantes de nossos clientes para fins de elaboração de suas próprias DPIAs. A Parte 3 também inclui um documento DPIA ilustrativo que você pode baixar e modificar para tornar o esboço de DPIAs mais fácil para você.
Os aplicativos e serviços do Microsoft Office 365 incluem, mas não estão limitados a, Exchange Online, Microsoft Office SharePoint Online, Microsoft OneDrive for Business, Yammer e Microsoft Teams. Uma lista mais completa de serviços disponíveis através do Office 365 pode ser vista nas Tabelas 1 e 2 do Guia de Solicitação do Titular dos Dados do Microsoft Office 365.
Parte 1: Determinar se a DPIA é necessária
O Artigo 35 do GDPR exige que um controlador de dados crie uma Avaliação de Impacto sobre a Proteção de Dados “onde um tipo de processamento em particular que usa novas tecnologias e leva em consideração a natureza, escopo, contexto e objetivos do processamento, provavelmente resultará num alto risco para os direitos e liberdades das pessoas singulares”. Além disso, estabelece fatores específicos que indicariam um risco tão alto que são discutidos na tabela a seguir. Ao determinar se uma DPIA é necessária, você, como controlador de dados, deve considerar estes fatores, juntamente com outros fatores relevantes, à luz das implementações específicas do controlador e do uso do Office 365.
| Fator de risco | Informações relevantes sobre o Office 365 |
|---|---|
| Uma avaliação sistemática e extensa dos aspectos pessoais relativos às pessoas físicas que se baseia no processamento automatizado, incluindo perfis, e na qual se baseiam as decisões que produzem efeitos jurídicos relativos à pessoa física ou afetam de forma significativa a pessoa física | Dependendo da configuração do controlador dos dados, o Office 365 pode executar determinado processamento automatizado de dados, como a análise realizada pelo Workplace Analytics que permite que o controlador de dados obtenha informações sobre como as pessoas colaboram em uma organização com base nas informações de cabeçalho de calendário e e-mail das caixas de correio dos usuários. O Office 365 não foi projetado para executar o processamento automatizado como base para decisões que produzem efeitos legais ou significativos semelhantes sobre os indivíduos. No entanto, como o Office 365 é um serviço altamente personalizável, um controlador de dados pode usá-lo para esse processamento. |
| Processamento em grande escala 1 de categorias especiais de dados (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa) ou de dados pessoais relacionados a crimes e condenações criminais | O Microsoft Office 365 não foi projetado para processar categorias especiais de dados pessoais. No entanto, um controlador de dados poderia usar o Office 365 para processar as categorias especiais de dados mencionadas. O Office 365 é um serviço altamente personalizável que permite que o cliente acompanhe ou processe qualquer tipo de dados pessoais, incluindo categorias especiais de dados pessoais. Qualquer uso desse tipo é relevante para a determinação de um controlador sobre a necessidade de uma DPIA. Porém, como processadora dos dados, a Microsoft não tem controle sobre o uso desses dados e normalmente tem nenhum ou pouco conhecimento sobre esse uso. |
| Monitoramento sistemático de uma área de acesso público em grande escala | O Office 365 não foi projetado para conduzir ou facilitar tais monitoramentos. No entanto, o controlador de dados poderia usá-lo para processar dados coletados por meio de tais monitoramentos. |
Observação
1 Com relação aos critérios de que o processamento é em “grande escala”, o Recital 91 do GDPR esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes por um médico individual, outro profissional de saúde ou advogado. Nesses casos, uma avaliação de impacto sobre a proteção de dados não deve ser obrigatória”.
Parte 2: Conteúdo de uma DPIA
O Artigo 35(7) do GDPR exige que a Avaliação de Impacto sobre a Proteção de Dados especifique os propósitos para o processamento, além de uma descrição sistemática desse processamento previsto. Nas DPIAs da Microsoft, essa descrição sistemática inclui fatores como os tipos de dados processados, por quanto tempo os dados ficarão retidos, onde os dados estão localizados e para onde serão transferidos, e os terceiros que podem ter acesso a esses dados. Além disso, a DPIA deve incluir:
- uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos;
- uma avaliação dos riscos aos direitos e às liberdades dos indivíduos; e
- as medidas previstas para fazer face aos riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade do Regulamento Geral sobre a Proteção de Dados, tendo em conta os direitos e interesses legítimos dos titulares dos dados e outras pessoas em causa.
A tabela a seguir fornece informações importantes da Microsoft que podem ajudar na elaboração da DPIA. Ela contém informações sobre o Office 365 relevantes para cada um dos elementos necessários de uma DPIA. Como na Parte 1, os controladores de dados devem considerar os detalhes fornecidos abaixo, juntamente com os detalhes de suas próprias implementações específicas e do uso do Office 365.
| Fatores de risco | Informações relevantes Sobre o Office 365 |
|---|---|
| Propósitos de processamento | Os propósitos de processamento de dados usando o Office 365 são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado nos Termos de Serviços Online e Adendo de Proteção de Dados, como processador de dados, processa os Dados do Cliente para fornecer ao Cliente os Serviços Online, de acordo com as instruções documentadas do Cliente. Conforme detalhado nos Termos de Serviços Online e Adendo de Proteção de Dados padrões, a Microsoft também usa Dados Pessoas para dar suporte a um conjunto limitado de operações comerciais legítimas que consistem em: (1) cobrança e gerenciamento de contas; (2) remuneração (por exemplo, cálculo de comissões de funcionários e incentivos a parceiros); (3) relatórios e modelagem internos (por exemplo, previsão, receita, planejamento de capacidade, estratégia de produto); (4) combater fraudes, crimes cibernéticos ou ataques cibernéticos que possam afetar a Microsoft ou os produtos da Microsoft; (5) melhorar a funcionalidade principal de acessibilidade, privacidade ou eficiência energética e (6) relatórios financeiros e conformidade com obrigações legais (sujeito à limitações de divulgação de Dados do Cliente descritas no Termos de Serviços Online). A Microsoft é a controladora do processamento de dados pessoais para dar suporte a essas operações comerciais legítimas específicas. Geralmente, a Microsoft agrega dados pessoais antes de usá-los para nossas operações comerciais legítimas, removendo a capacidade da Microsoft de identificar indivíduos específicos, e usa os dados pessoais na forma menos identificável que dará suporte ao processamento necessário para operações comerciais legítimas. A Microsoft não usará os dados do cliente ou as informações derivadas deles para a criação de perfil, nem para publicidade ou fins empresariais semelhantes. |
| Categorias de dados pessoais processados | Dados do cliente: são todos os dados, incluindo texto, som, vídeo ou arquivos de imagem e software que os clientes fornecem à Microsoft ou que são fornecidos em nome do cliente para o uso dos serviços on-line da Microsoft. Inclui os dados que os clientes carregam para armazenamento ou processamento, assim como para personalizações. Exemplos de Dados do Cliente processados no Office 365 incluem conteúdo por e-mail no Exchange Online e documentos ou arquivos armazenados no SharePoint Online ou OneDrive for Business. Dados gerados pelo serviço: esses dados são gerados ou derivados pela Microsoft por meio do serviço, como usar ou dados de desempenho. A maioria desses dados contém identificadores pseudônimos gerados pela Microsoft. Dados de diagnóstico: esses dados são coletados ou obtidos pela Microsoft com o software que é instalado localmente pelo cliente em conjunto com o serviço on-line e também pode ser chamado de telemetria. Esses dados são geralmente identificados por atributos do software instalado localmente ou pela máquina que executa esse software. Dados de Suporte: esses dados são fornecidos à Microsoft pelo Cliente ou em seu nome (ou esse Cliente autoriza a Microsoft a obtê-los de um Serviço Online) através de um compromisso com a Microsoft para obter suporte técnico para os Serviços Online. Os Dados do Cliente, os Dados de Registro e de Suporte gerados pelo sistema não incluem os Dados do Administrador e de cobrança, como as informações de contato do administrador do cliente, informações da assinatura e dados de pagamento, que a Microsoft coleta e processa na qualidade de controladora de dados e está fora do escopo deste documento. |
| Retenção de dados | Dados do cliente: conforme estabelecido nos Termos de proteção de dados nos Termos de serviços on-line, a Microsoft reterá os Dados do cliente pela duração do direito do cliente de utilizar o serviço e até que todos os Dados do cliente sejam excluídos ou devolvidos de acordo com as instruções do cliente ou dos termos dos Termos de serviços on-line. Durante todo o período da assinatura do cliente, o mesmo poderá acessar, extrair e excluir os Dados do cliente armazenados no serviço, sujeitos, em alguns casos, a funcionalidades específicas do produto destinadas a atenuar o risco de exclusão inadvertida (por exemplo: pasta de itens recuperados do Exchange), conforme descrito mais detalhadamente na documentação do produto. Exceto para avaliações gratuitas e serviços do LinkedIn, a Microsoft reterá os Dados do Cliente armazenados no Serviço Online em uma conta de função limitada por 90 dias após a expiração ou término da assinatura do cliente para que o cliente possa extrair os dados. Após o período de retenção de 90 dias, a Microsoft desativará a conta do cliente e excluirá os Dados do Cliente. Dados de Log gerados pelo sistema: esses dados são retidos por um período padrão de até 180 dias a partir da coleta, sujeitos a períodos de retenção mais longos quando exigidos para a segurança dos serviços ou para cumprir obrigações legais ou regulamentares. Para obter mais informações sobre recursos de serviços que permitem que o cliente exclua dados pessoais mantidos no serviço a qualquer momento, consulte o Guia de Solicitações de Entidades de Dados do Office 365. |
| Localização e transferências de dados pessoais | Conforme descrito no Anexo 1 dos Termos de serviços on-line, se o Cliente provisionar sua instância do Office 365 na Austrália, Canadá, União Europeia, França, Índia, Japão, Coréia do Sul, Reino Unido ou Estados Unidos, a Microsoft armazenará os seguintes Dados do cliente em repouso apenas nesse local: (1) conteúdo da caixa de correio do Exchange Online (corpo de e-mail, entradas de calendário e o conteúdo de anexos de e-mail); (2) conteúdo do site do SharePoint Online e os arquivos armazenados nesse site; (3) arquivos carregados no OneDrive for Business; e (4) conteúdo do projeto carregado no Project Online. Para os dados pessoais do Espaço Econômico Europeu, Suíça e Reino Unido, a Microsoft garantirá que as transferências de dados pessoais para um terceiro país ou organização internacional estejam sujeitas às salvaguardas apropriadas, conforme descrito no Artigo 46 do GDPR. Além dos compromissos da Microsoft sob as Cláusulas Contratuais Padrão para processadores e outros modelos de contratos, a Microsoft continua a cumprir os termos da Estrutura da Defesa de Privacidade UE-EUA, mas não mais dependerá dela como base para a transferência de dados pessoais da UE/EEE para os Estados Unidos. |
| Compartilhamento de dados com subprocessadores de terceiros | A Microsoft compartilha dados com terceiros que atuam como nossos subprocessadores para oferecer funções como atendimento ao cliente e suporte técnico, manutenção de serviço e outras operações. Qualquer subcontratado para o qual a Microsoft transferir Dados do Cliente ou Dados de Suporte terá firmado contrato por escrito com a Microsoft com o mesmo nível de proteção dos Termos de Proteção de Dados dos Termos de Serviços Online. Todos os subprocessadores de terceiros com os quais os Dados do Cliente dos Serviços do Microsoft Core Online forem compartilhados estão incluídos na lista de Subcontratados de Serviços Online. Todos os subprocessadores de terceiros que podem acessar os Dados de Suporte (incluindo Dados do Cliente que os clientes escolhem compartilhar durante as interações de suporte) estão incluídos na lista de Prestadores de Serviços de Suporte Comercial da Microsoft. |
| Compartilhamento de dados com terceiros independentes | Alguns produtos do Office 365 incluem opções de extensibilidade que permitem, na eleição do controlador, compartilhar dados com terceiros independentes. Por exemplo, o Exchange Online é uma plataforma extensível que permite que suplementos ou conectores de terceiros se integrem ao Outlook e estendam os conjuntos de recursos do Outlook. Esses provedores de suplementos ou conectores de terceiros agem independentemente da Microsoft, e seus suplementos ou conectores devem ser habilitados pelos usuários ou administradores corporativos, que autenticam com sua conta de suplemento ou de conector. A Microsoft não revelará os Dados do Cliente ou de Suporte às autoridades legais, a menos que exigido por lei. Se as autoridades contatarem a Microsoft exigindo os Dados do Cliente ou de Suporte, a Microsoft irá empenhar-se em redirecionar as autoridades para solicitar tais dados diretamente do cliente. Se for obrigada a divulgar os Dados do Cliente ou de Suporte às autoridades, a Microsoft irá imediatamente notificar o cliente e fornecer uma cópia da solicitação, a menos que seja proibida por lei. Se receber qualquer solicitação de terceiros para a obtenção dos Dados do Cliente ou de Suporte, a Microsoft irá imediatamente notificar o cliente, a menos que seja proibida por lei. A Microsoft rejeitará a solicitação, a menos que seja obrigada por lei a atendê-la. Se a solicitação for válida, a Microsoft irá empenhar-se em redirecionar o terceiro para solicitar os dados diretamente do cliente. |
| Direitos das entidades de dados | Como processadora, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais de seus titulares de dados e a capacidade de atender às solicitações dos titulares de dados quando estes exercem seus direitos de acordo com o GDPR. Fazemos isso de forma consistente com a funcionalidade do produto e nosso papel como processadora. Se recebermos uma solicitação dos titulares de dados do cliente para exercer um ou mais de seus direitos de acordo com o GDPR, encaminharemos o titular de dados para fazer sua solicitação diretamente ao controlador de dados. O Guia de Solicitações de Titulares de Dados do Office 365 fornece uma descrição para o controlador de dados sobre como oferecer suporte a direitos dos titulares de dados usando os recursos do Office 365. As solicitações de um titular de dados exercendo direitos sob o GDPR dos dados pessoais processados para dar suporte a processos comerciais legítimos devem ser direcionadas à Microsoft, conforme esclarecido na Declaração de privacidade da Microsoft. A Microsoft geralmente agrega dados pessoais antes de usá-los em nossas operações comerciais legítimas e não está em posição de identificar dados pessoais de um indivíduo específico no agregado. Isso reduz significativamente o risco de privacidade para o indivíduo. No caso de a Microsoft não estar em posição de identificar o indivíduo, não pode oferecer suporte aos direitos do titular dos dados para acesso, rasura, portabilidade, restrição ou objeção de processamento. |
| Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Essa avaliação dependerá das necessidades e propósitos de processamento do controlador. Em relação ao processamento realizado pela Microsoft, ele é necessário e proporcional ao propósito de fornecer os serviços ao controlador de dados. |
| Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos aos direitos e às liberdades dos titulares de dados derivados do uso do Office 365 serão em função de como e em que contexto o controlador de dados implementa, configura e o usa. A Microsoft toma medidas como o anonimato ou agregação de dados pessoais usados pela Microsoft para oferecer suporte a operações comerciais legítimas para oferecer suporte aos serviços, minimizando o risco desse processamento para os titulares de dados que usam o serviço. No entanto, como em qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou de divulgação inadvertida. As medidas tomadas pela Microsoft para enfrentar tais riscos são discutidas nas seções seguintes. |
| Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos | A Microsoft está comprometida em ajudar a proteger a segurança das informações dos clientes. Em conformidade com as disposições do Artigo 32 do RGPD, a Microsoft implementou, manterá e seguirá as medidas técnicas e organizacionais apropriadas destinadas a proteger os Dados do Cliente e os Dados de Suporte contra acesso acidental, não autorizado ou ilegal, divulgação, alteração, perda ou destruição. Além disso, a Microsoft cumpre todas as demais obrigações do RGPD que se aplicam a processadores de dados, incluindo, entre outras, avaliações do impacto na proteção dos dados e manutenção de registros. Nos casos em que a Microsoft processa dados pessoais para suas operações comerciais legítimas, ela cumpre as obrigações GDPR aplicáveis aos controladores de dados. |
Parte 3: As DPIAs são difíceis, mas isso pode ajudar
Se você determinou que sua organização precisa redigir uma DPIA, as informações nesta seção foram projetadas para ajudar a tornar esse processo mais fácil para você.
Esta seção:
- fornece o Microsoft Office 365 e os elementos de serviço relevantes de informações específicas do produto, e
- fornece um modelo de DPIA em branco que você pode baixar, modificar e usar para criar suas próprias DPIAs.
Matriz de elementos de serviço DPIA
A Matriz de Elementos de Serviço de DPIA é uma organização de conteúdo que pode ser útil ao iniciar o processo de documentação de sua DPIA. É organizado por serviço e fornece informações específicas do produto e links para documentação que podem ajudá-lo a esboçar respostas responsivas aos elementos da DPIA necessários com mais facilidade.
Documento personalizável da DPIA
Percebemos que elaborar DPIAs pode ser um esforço demorado. Embora a DPIA de cada cliente seja diferente com base em como cada organização configura e usa o Microsoft Office 365, o documento a seguir pode economizar seu tempo. Você pode baixar o Documento DPIA Personalizável como um modelo ilustrativo modificável para começar rapidamente. É gratuito para você usar e se adaptar à sua implementação específica do serviço. Este documento não deve ser interpretado como aconselhamento jurídico fornecido pela Microsoft ou qualquer uma de suas afiliadas. Se você tiver alguma dúvida sobre o processo de redação da DPIA, recomendamos que consulte seu advogado.