Conformidade de GDPR para o Power Virtual Agents

O GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia concede o direito às pessoas (conhecidas na regulamentação como titulares dos dados) de gerenciar os dados pessoais coletados por um empregador ou outro tipo de agência ou organização (conhecidos como controladores de dados, ou apenas controladores). Os dados pessoais são definidos em linhas gerais no GDPR como todos os dados relacionados a uma pessoa física identificada ou identificável. O GDPR fornece aos titulares de dados direitos específicos a seus dados pessoais. Esses direitos incluem obter cópias, solicitar alterações, restringir o processamento, excluir ou receber os dados em um formato eletrônico para que eles possam ser passados para outro controlador. Uma solicitação formal feita por um titular de dados a um controlador para executar uma ação em seus dados pessoais é chamada neste documento de Solicitação de Direitos do Titular dos Dados ou, apenas, solicitação DSR.

Este guia aborda como usar os produtos, serviços e ferramentas administrativas da Microsoft para ajudar nossos clientes controladores a encontrar e atuar nos dados pessoais para responder às solicitações DSR. Especificamente, isso inclui como localizar, acessar e atuar nos dados pessoais que residem na nuvem da Microsoft. Aqui está uma visão geral rápida dos processos descritos neste guia:

1. Descobrir – Usar ferramentas de pesquisa e descoberta para localizar com mais facilidade os dados do cliente que possam estar sujeitos a uma solicitação DSR. Após a coleta de documentos potencialmente responsivos, você pode executar uma ou mais ações de DSR descritas nas etapas a seguir para responder à solicitação. Como alternativa, você pode determinar que a solicitação não atende às diretrizes da sua organização para responder a solicitações DSR.

2. Acessar – Recuperar dados pessoais que residem na nuvem da Microsoft e, se solicitado, fazer uma cópia deles que possa estar disponível para o titular dos dados.

3. Retificar – Fazer alterações ou implemente outras ações solicitadas nos dados pessoais, quando aplicável.

4. Restringir – Restringir o processamento de dados pessoais por remoção de licenças de vários serviços online ou desativação dos serviços desejados quando possível. Você também pode remover dados da nuvem da Microsoft e retê-los localmente ou não.

5. Excluir – Remover de forma permanente os dados pessoais que residem na nuvem da Microsoft.

6. Exportar – Fornecer uma cópia eletrônica (em formato legível por máquina) dos dados pessoais do titular dos dados. Cada seção deste guia descreve os procedimentos técnicos que uma organização controladora de dados pode realizar para responder a uma solicitação de DSR para os dados pessoais na nuvem da Microsoft

Pré-requisitos

• Saiba mais sobre o que você pode fazer com o Power Virtual Agents.

Terminologia de RGPD

Este exemplo fornece definições dos termos que são relevantes para este guia:

• Controlador – A pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, individualmente ou junto com outros, determina os fins e os meios do processamento dos dados pessoais; onde os fins e os meios de tal processamento são determinados por uma autoridade federal ou estadual; o controlador ou os critérios específicos para essa indicação podem ser fornecidos por uma autoridade federal ou estadual.
• Dados pessoais e titular dos dados – Qualquer informação relacionada a uma pessoa física identificada ou identificável ("titular dos dados"); uma pessoa física identificável é alguém que pode ser identificado, direta ou indiretamente. em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, identificador online ou um ou mais fatores específicos às características físicas, psicológicas, genéticas, mentais, econômicas culturais ou de identidade social de uma pessoa física.
• Processador – Uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador.
• Dados do cliente – todos os dados, incluindo todos os arquivos de texto, som, vídeo ou imagem e softwares que são fornecidos para a Microsoft por um cliente ou em nome dele pelo uso do serviço corporativo, como definido nos Termos do Microsoft Online Services.
• Logs gerados pelo sistema – logs e dados relacionados gerados pela Microsoft que ajudam a Microsoft a fornecer os serviços corporativos aos usuários. Os logs gerados pelo sistema contêm principalmente dados pseudonimizados, como identificadores exclusivos – normalmente um número gerado pelo sistema que não pode identificar sozinho uma pessoa, mas é usado para fornecer os serviços corporativos aos usuários. Os logs gerados pelo sistema também podem conter informações identificáveis sobre usuários finais, como um nome de usuário.

Como este guia pode ajudá-lo a cumprir suas responsabilidades de controlador

O guia, dividido em duas partes, descreve como usar os produtos, serviços e ferramentas administrativas do Dynamics 365 para ajudá-lo a encontrar e agir sobre dados na nuvem da Microsoft em resposta a solicitações de titulares dos dados que exercem seus direitos sob o GDPR. A primeira parte trata dos dados pessoais incluídos nos dados do cliente, seguida por uma parte que aborda outros dados pessoais pseudonimizados capturados nos logs gerados pelo sistema.

Parte 1: responder a solicitações de Direitos do Titular dos Dados (DSR) para Dados Pessoais incluídos nos dados do cliente. A 1ª parte deste guia discute como acessar, retificar, restringir, excluir e exportar dados pessoais dos aplicativos Dynamics 365 (software como serviço), processados como parte dos dados do cliente que você forneceu ao serviço online.

Parte 2: responder a solicitações de direitos do titular dos dados para dados pseudonimizados. Ao usar os serviços corporativos do Dynamics 365, a Microsoft gera algumas informações (mencionadas neste documento como logs gerados pelo sistema) para fornecer o serviço, limitado ao volume de uso deixado pelos usuários finais para identificar suas ações no sistema. Embora esses dados não possam ser atribuídos a um titular de dados específico sem o uso de informações adicionais, alguns deles podem ser considerados pessoais pelo GDPR. A 2ª parte deste guia discute como acessar, excluir e exportar logs gerados pelo sistema produzidos pelo Dynamics 365.

Como se preparar para investigações de direitos do titular dos dados

Quando os titulares dos dados exercem seus direitos e fazem solicitações, considere os seguintes pontos:

• Identifique adequadamente a pessoa e a função, como funcionário, cliente, fornecedor, usando as informações que o titular dos dados forneceu como parte da solicitação. Essas informações podem ser um nome, um ID do funcionário ou número do cliente, ou outro identificador.
• Registre a data e hora da solicitação. (Você tem 30 dias para concluir a solicitação.)
• Afirme que a solicitação atende aos requisitos de sua organização para aceitar ou recusar a solicitação de um titular dos dados. Por exemplo, você deve garantir que a execução da solicitação não entre em conflito com outras obrigações legais, financeiras ou normativas que você tenha, ou que não viole os direitos e liberdades de terceiros.
• Verifique se você possui as informações relacionadas à solicitação.

Nota

Como o acesso ao seu bot é gerenciado pelo seu administrador de locatário do Azure Active Directory (Azure AD), outros usuários com permissões de administrador têm acesso ao conteúdo do seu bot.

Uma observação sobre solicitações para retificar dados pessoais

Se um titular dos dados solicitar a correção de dados pessoais que residem em sua organização, você e sua organização deverão determinar se é apropriado aceitar a solicitação. A retificação de dados pode incluir tomar ações como editar, redigir ou remover dados pessoais.

Você pode usar o Azure AD para gerenciar identidades dos usuários do Power Virtual Agents. Os clientes empresariais podem gerenciar solicitações de correção de DSR, incluindo recursos de edição limitada, de acordo com a natureza de um determinado serviço da Microsoft. Como processadora de dados, a Microsoft não oferece a capacidade de corrigir logs gerados por sistema porque esses logs refletem atividades reais e constituem um registro histórico de eventos nos serviços da Microsoft.