Explorar o RGPD
O europeu publicou a União Europeia (UE) Regulamento Geral sobre a Proteção de Dados (também conhecido como RGPD) em abril de 2016. Essa regulamentação foi projetada para simplificar as leis de privacidade de dados em toda a Europa. Ela se aplica a controladores de dados (principalmente serviços de consumidor) e processadores de dados (serviços corporativos) que processam dados pessoais de uma pessoa que reside na UE.
Para o Microsoft serviços online, somos o processador de dados:
- A Microsoft apresenta a política de privacidade do controlador de dados para seus titulares de dados.
- A Microsoft projeta alterações nos recursos de serviço existentes e novos recursos em alinhamento com os direitos do titular dos dados.
- A Microsoft fornece aviso se houver uma violação de dados quando a violação provavelmente "resultará em um risco para os direitos ou liberdade dos indivíduos". Comprometemos-nos a notificar as partes apropriadas dentro de 72 horas, quando uma violação de dados foi declarada.
Em alinhamento com as provisões do RGPD para a implementação de medidas técnicas e organizacionais apropriadas e eficazes, a Microsoft se alinha aos requisitos de controle ISO 27001 e ISO 27018 e está expendendo do alinhamento à ISO 27701 em nossos serviços.
Solicitações de entidade de dados (DSRs)
O GDPR concede a indivíduos (ou a entidades de dados) certos direitos relacionados ao processamento de seus dados pessoais, incluindo o direito de corrigir dados incorretos, apagar dados ou restringir seu processamento, receber seus dados e atender a uma solicitação para transmitir seus dados a outro controlador. O controlador é responsável por fornecer uma resposta adequada e consistente com o RGPD. A Microsoft (processador de dados) auxilia seus clientes (controladores) fornecendo recursos que facilitam e habilitam sua conformidade e resposta às DSRs.
A Microsoft fornece aos clientes ferramentas administrativas para ajudar a localizar dados pessoais e tomar medidas em resposta a DSRs:
- Descobrir: use ferramentas de pesquisa e descoberta para localizar dados do cliente que podem ser o assunto de uma DSR.
- Acesso: recuperar dados pessoais que residem no serviço da Microsoft e, se solicitado, fazer uma cópia que possa ser disponibilizada para o titular dos dados.
- Corrigir: faça alterações ou implemente outras ações solicitadas nos dados pessoais, quando aplicável.
- Restringir: restrinja o processamento de dados pessoais, removendo licenças para vários serviços da Microsoft ou desativando os serviços desejados sempre que possível. Os clientes também podem remover dados da nuvem da Microsoft e retê-los localmente ou em outro local.
- Excluir: remover permanentemente os dados pessoais que residiam no serviço Microsoft.
- Exportação/Recebimento (Portabilidade): forneça uma cópia eletrônica (em um formato legível por computador) de dados pessoais ou informações pessoais para o titular dos dados.
Avaliações do Impacto sobre a Proteção dos Dados
O GDPR exige que os controladores preparem uma DPIA (Avaliação de Impacto de Proteção de Dados) para operações que "provavelmente resultarão em um alto risco para os direitos e liberdades das pessoas naturais". Não há nada inerente aos produtos e serviços da Microsoft que exija a criação de uma DPIA. No entanto, como os produtos e serviços da Microsoft são altamente personalizáveis, uma DPIA pode ser necessária dependendo dos detalhes da situação de um cliente. A Microsoft não tem controle sobre essas informações e pouco ou nenhum insight. O controlador de dados deve determinar os usos apropriados de seus dados. No entanto, a Microsoft reconhece o esforço considerável necessário para executar uma DPIA e, portanto, forneceu alguns recursos para ajudar os clientes a cumprir suas obrigações no DPIA para o RGPD, caso precisem fazer isso.