Evaluación de impacto de la protección de datos para el RGPD

El reglamento general de protección de datos (RGPD), añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. Puede encontrar más detalles en el artículo resumen del RGPD. Este documento le guiará por la información relativa a la Evaluación de Impacto de Protección de Datos (EIPD) de conformidad con el RGPD al utilizar productos y servicios de Microsoft.

Terminología

Definiciones útiles de los términos del RGPD utilizados en este documento:

  • Controlador de datos (controlador): una persona jurídica, autoridad pública, agencia u otro organismo, que por sí solos o conjuntamente con otras personas, determinan el propósito y el medio del procesamiento de datos personales.
  • Datos personales e interesado: cualquier información relacionada con una persona física identificada o una persona natural identificable (interesado), una persona física identificable es la que puede identificarse, directa o indirectamente.
  • Procesador: una persona física o jurídica, entidad pública, agencia u otro organismo que procese datos personales en nombre del controlador.
  • Datos de clientes: datos producidos y almacenados en las operaciones diarias de su empresa.

¿Qué es una EIPD?

El Reglamento General de Protección de Datos (RGPD) exige a los controladores de datos que elaboren una evaluación de impacto de la protección de datos (EIPD) para las operaciones que sea "probable que resulten en un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a los productos y servicios de Microsoft que necesiten la creación de un DPIA. Sin embargo, dado que los productos y servicios de Microsoft son muy personalizables, es posible que se necesite una EIPD en función de las características de su configuración de Microsoft. Microsoft no controla esta información y tiene muy poco o ningún conocimiento sobre ella. Usted, como controlador de los datos, debe determinar los usos adecuados de sus datos.

La EIPD en acción

La guía de EIPD se aplica a los servicios profesionales y de soporte técnico de Office 365, Azure, Dynamics 365 y Microsoft. Esta guía presenta incluye consideraciones sobre:

¿Cuándo se necesita una EIPD?

Al considerar si se realiza una EIPD, se deben tratar los factores de riesgo que aparecen a continuación. En la primera parte de cada una de las instrucciones se encuentran otros factores potenciales y detalles adicionales.

  • Una evaluación sistemática y extensa de los datos basada en el procesamiento automatizado.
  • Procesamiento a gran escala de categorías especiales de datos (datos que revelan información unívoca para la identificación de una persona física) o de datos personales relativos a delitos y condenas penales.
  • Supervisión sistemática a gran escala de un área de acceso público.

El RGPD aclara que "el procesamiento de datos personales no debe considerarse a gran escala si el procesamiento se refiere a datos personales de pacientes o clientes por parte de un médico individual, otro profesional de atención médica o un abogado. En tales casos, una evaluación del impacto de la protección de datos no debe ser obligatoria."

¿Qué se necesita para elaborar una EIPD?

Una EIPD debe proporcionar información específica sobre el procesamiento previsto, que se detalla en la segunda parte de las instrucciones. Esta información incluye:

  • Una evaluación de la necesidad y proporcionalidad del procesamiento de datos en relación con el propósito de EIPD.
  • Una evaluación de los riesgos para los derechos y libertades de las personas físicas.
  • Las medidas previstas para abordar los riesgos, las protecciones, las medidas de seguridad y los mecanismos para asegurar la protección de los datos personales y demostrar el cumplimiento del RGPD.
  • Finalidades del procesamiento
  • Categorías de datos personales procesados
  • Retención de datos
  • Ubicación y transferencias de datos personales
  • Uso compartido de datos con subprocesadores terceros
  • Uso compartido de datos con terceros independientes
  • Derechos del titular de los datos

Consideraciones adicionales

A continuación, se muestran detalles específicos que pueden ser relevantes para su implementación de Microsoft.

  • Office 365: este documento se aplica a Office 365 aplicaciones y servicios, incluidos, entre otros, Exchange Online, SharePoint, Viva Engage, Skype Empresarial y Power BI. Consulte las tablas 1 y 2 para obtener más información.
  • Azure: Se recomienda a los clientes que trabajen con sus responsables de privacidad y asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con su uso de Microsoft Azure.
  • Dynamics 365: El contenido de un DPIA puede variar según las herramientas de Dynamics 365 que emplee. Para obtener detalles específicos, consulte el contenido de la segunda parte de una EIPD.
  • Windows: este documento se aplica a la configuración del encargado de los datos de diagnóstico de Windows. Se anima a los clientes a trabajar con sus oficiales de privacidad y asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con su uso de la configuración del encargado de los datos de diagnóstico de Windows.
  • Soporte técnico de Microsoft y servicios profesionales: Los Servicios Profesionales no realizan ciertos procesamientos de datos rutinarios o automatizados, ni están diseñados para procesar categorías especiales ni realizar tareas que faciliten o requieran la supervisión de datos accesibles públicamente. Para más detalles, consultar Parte 1: determinar si se necesita una EIPD Los controladores deben tener en cuenta los elementos de la EIPD descritos arriba, además de cualquier otro factor relevante, en el contexto de las implementaciones específicas del controlador y el uso de Professional Services. Para obtener información sobre Professional Services, consulte Parte 2: contenido de una EIPD.

Más información