Entender o ciclo de vida dos dados – coleta
Quando os clientes se inscrevem no Microsoft Online Services, é importante que entendam os termos de uso que se aplicam a eles. Como os requisitos regulatórios e de privacidade diferem por limites geográficos e do setor, é importante que os clientes façam suas próprias determinações sobre se o serviço atende às suas necessidades de uso específicas.
Os termos de uso que a Microsoft tem com seus clientes são:
- Termos dos Serviços Online (OST): compromissos contratuais padrão com clientes comerciais que usam Serviços Online, em que a Microsoft atua como processador de dados
- DPA (Adendo de Proteção de Dados) dos Serviços Online: respectivas obrigações relacionadas ao processamento e ao uso de tipos de dados existentes em nosso serviço
O DPA e o OST estavam originalmente em um único documento até janeiro de 2020, quando os separamos para facilitar a localização de termos de privacidade de dados por nossos clientes. A Microsoft trabalha com reguladores e clientes comerciais para obter comentários sobre as leis de proteção de dados e nos ajustamos para diferentes regulamentações à medida que elas mudam.
Aviso de privacidade, consentimento e taxonomia de dados
Aviso e consentimento são princípios fundamentais das leis de privacidade em todo o mundo. A Microsoft mantém um CDGB (Customer Data Governance Board) que gerencia a Taxonomia de Dados do Cliente (Taxonomia) e a Estrutura de Uso de Dados do Cliente (Estrutura), um conjunto de regras de toda a empresa para aviso, consentimento e controles de usuário. A Taxonomia define categorias de tipos de dados e usos. A Estrutura especifica os controles de usuário de aviso, consentimento e pós-coleta necessários para o uso de cada tipo de dados. A Microsoft também usa revisões de privacidade, incluindo uma análise de interesse legítima para dar suporte a esse processo. Requisitos adicionais podem se aplicar a situações específicas (por exemplo, o consentimento dos pais pode ser necessário para coletar dados de uma criança.)
Tratamento e uso de dados
Os Padrões de Tratamento de Dados fornecem diretrizes sobre como gerenciar cada tipo de classificação de dados dentro de atividades ou cenários específicos, incluindo um conjunto de requisitos coletivos para atender às obrigações descritas no OST/DPA e vários padrões e regulamentos de auditoria. Esses padrões são comumente usados quando novos recursos estão sendo criados ou ao executar um serviço e podem ser específicos para esse serviço, como o Microsoft 365.
Para cumprir as leis de privacidade amplamente aplicáveis, limitamos estritamente o uso de todos os dados pessoais dentro das quatro categorias de dados processados. Para proteger a confidencialidade dos dados corporativos do cliente, limitamos ainda mais estritamente o uso de todos os dados do cliente e de todos os dados de serviços profissionais. Não acessamos o conteúdo dos dados do cliente para determinar o que é pessoal ou não. Em vez disso, presumimos que todos os dados do cliente e todos os dados de serviços profissionais contêm dados pessoais. Abaixo está uma representação visual dos tipos de dados definidos no DPA. A caixa azul ajuda a ilustrar que todos os dados pessoais são processados como parte de um dos outros tipos de dados (todos eles também incluem dados não pessoais). Os dados de suporte são um subconjunto de dados de serviços profissionais.
Os dados pessoais dentro de dados de diagnóstico e dados gerados pelo serviço estão principalmente na forma de números exclusivos gerados por computador que podem ser vinculados aos usuários.
Transferências de dados internacionais
Os dados do cliente e os dados pessoais que a Microsoft processa em nome de um cliente podem ser transferidos e armazenados e processados no Estados Unidos ou em qualquer outro país/região no qual a Microsoft ou seus subprocessadores operam. Se um cliente quiser uma compreensão mais profunda por serviço, é bom examinar o Adendo de Proteção de Dados.
A Microsoft está em conformidade com as leis de proteção de dados internacionais abaixo sobre transferências de dados do cliente entre fronteiras. Por exemplo, as Cláusulas de Modelo da UE regulam a transferência de dados pessoais de clientes da UE para países/regiões fora da Área Econômica Europeia (EEE). As Cláusulas Contratuais Padrão da Microsoft da UE fornecem garantias contratuais específicas sobre transferências de dados pessoais para serviços cobertos que os reguladores de privacidade da Europa determinaram para atender aos padrões da UE para transferências internacionais de dados. As Cláusulas Modelo da UE também fornecem um mecanismo válido para a transferência de dados pessoais da Suíça e do Reino Unido.