Evaluaciones de impacto en la protección de datos personales: Guía para poseedores de los datos que usen Microsoft Azure

Según el Reglamento General de Protección de Datos (RGPD), los responsables de los datos deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Microsoft Azure que requiera necesariamente la creación de un DPIA por parte de un controlador de datos que lo use. El requisito de llevar a cabo una EIPD dependerá en cambio de los detalles y el contexto de cómo el responsable de los datos implementa, configura y usa Microsoft Azure. En cualquier caso, una EIPD debe comenzar al principio de la vida de un proyecto y ejecutarse en paralelo al proceso de planeamiento y desarrollo.

La finalidad de este documento es proporcionar a los poseedores de los datos información sobre Microsoft Azure que les permitirá determinar si se necesita una EIPD y, en ese caso, qué detalles incluir.

Nota:

Microsoft no proporciona asesoría legal en este artículo. Este artículo tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad —o responsables de protección de datos (DPO) cuando se designen— o asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con el uso de Microsoft Azure o cualquier otro servicio en línea de Microsoft.

Parte 1: Determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un poseedor de los datos cree una Evaluación de impacto en la protección de datos (EIPD) "cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas". Estipula aún más los factores específicos que indicarían dicho alto riesgo, que se explican en la tabla siguiente. Al determinar si necesita un EIPD, el poseedor de los datos necesita tener en cuenta estos factores, además de otros factores relevantes, en virtud de las implementaciones y los usos específicos de Microsoft Azure realizados por el poseedor.

Factor de alto riesgo Información relevante sobre Microsoft Azure
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles. Asimismo, sobre la base de esta evaluación, se basan decisiones que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. Los servicios de Microsoft Azure no están diseñados para realizar el procesamiento en el que se basan las decisiones que producen efectos legales o similares significativos en las personas.

Sin embargo, dado que Azure es un servicio altamente personalizable, un controlador de datos podría configurar potencialmente los servicios de Azure que se usarán para dicho procesamiento. Los controladores deben tomar esta determinación en función de su uso de Azure.
El procesamiento a gran escala de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales. Microsoft Azure no está diseñado para procesar categorías especiales de datos personales a gran escala.

Sin embargo, un controlador de datos podría usar Microsoft Azure para procesar las categorías especiales enumeradas de datos. Microsoft Azure es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar datos personales, incluidas categorías especiales de datos personales. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al responsable de los datos determinar cuáles son usos adecuados de los datos del responsable de los datos.
Supervisión sistemática de un área accesible públicamente a gran escala. Microsoft Azure no está diseñado para llevar a cabo ni facilitar dicha supervisión a gran escala.

Sin embargo, un controlador de datos podría usar Azure para procesar los datos recopilados a través de dicha supervisión. Microsoft Azure es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidos los datos de supervisión. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al responsable de los datos determinar cuáles son usos adecuados de los datos del responsable de los datos.

Parte 2: Contenido de una EIPD

El artículo 35(7) del RGPD exige que una evaluación de impacto de la protección de datos especifique los fines del procesamiento y una descripción sistemática del procesamiento previsto. Una descripción sistemática de un DPIA completo podría incluir factores como los tipos de datos procesados, cuánto tiempo se conservan los datos, dónde se encuentran y transfieren los datos, y qué terceros pueden tener acceso a los datos y ser compatibles con un diagrama de flujo de datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • Una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;
  • Una evaluación de los riesgos para los derechos y libertades de las personas físicas; Y
  • Las medidas previstas para hacer frente a los riesgos, incluidas las medidas de seguridad, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas interesadas.

La tabla siguiente contiene información sobre Microsoft Azure que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles proporcionados en la tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de Microsoft Azure.

Elementos de una EIPD Información relevante sobre Microsoft Azure
Finalidades del procesamiento Las finalidades del procesamiento de los datos con Microsoft Azure las determina el poseedor que lo implementa, configura y usa.

Según lo especificado por los Términos de productoy el Complemento de protección de datos de productos y servicios (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente los Servicios en línea de acuerdo con las instrucciones documentadas del Cliente.

Como se detalla en el anexo estándar de protección de datos de productos y productos y servicios (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones empresariales.

Microsoft es el responsable del procesamiento de datos personales para admitir estas operaciones empresariales específicas. Por lo general, Microsoft agrega datos personales antes de usarlos para nuestras operaciones empresariales, lo que elimina la capacidad de Microsoft de identificar individuos específicos y usa datos personales en la forma menos identificable que admitirá el procesamiento necesario para las operaciones empresariales.

Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares.

Nota: Microsoft Azure es una plataforma en la nube en línea para el procesamiento que se compone de varios servicios en línea discretos, cada uno de los cuales tiene distintos propósitos de procesamiento. Puede encontrar descripciones de cada oferta de servicio de Microsoft Azure aquí.

Microsoft Azure procesa datos personales solo para proporcionar a los clientes sus servicios en línea, incluidos los propósitos compatibles con la prestación de esos servicios, como personalización, seguridad, prevención de fraudes y malware, solución de problemas y mejora.
Categorías de datos personales procesados Datos de cliente: todos los datos, incluidos todos los archivos de texto, sonido, vídeo o imagen y software, que un cliente proporciona a Microsoft o en nombre de este mediante el uso del servicio enterprise. Datos de cliente incluye (1) información identificable de los usuarios finales (por ejemplo, nombres de usuario e información de contacto en Microsoft Entra ID) y contenido de cliente que un cliente carga o crea en servicios específicos (por ejemplo, el contenido del cliente en una cuenta de Azure Storage, el contenido del cliente de una base de datos de Azure SQL o la imagen de máquina virtual de un cliente en Azure Virtual Machines).

Datos generados por el servicio: estos son los datos generados o derivados por Microsoft a través del funcionamiento del servicio, como los datos de uso o rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft.

Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) con una interacción con Microsoft para obtener soporte técnico para los servicios en línea.

Para obtener más información sobre los datos procesados por Azure, consulte los Términos del producto, incluidos el [Contrato de procesamiento de datos de productos y servicios (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) y el Centro de confianza de Microsoft.

Retención de datos Microsoft conservará y procesará los datos del cliente durante el derecho del Cliente a usar el Servicio en línea y hasta que el Cliente recupere o elimine todos los datos del cliente de acuerdo con los términos de los Términos del productoy del Complemento de protección de datos de productos y servicios (DPA). En todo momento durante el plazo de la suscripción del cliente, este tendrá la posibilidad de acceder y extraer los datos del cliente almacenados en cada servicio en línea. Excepto en el caso de las pruebas gratuitas y los servicios LinkedIn, Microsoft conservará los datos del cliente almacenados en el servicio en línea en una cuenta de función limitada durante 90 días tras el vencimiento o la finalización de la suscripción del cliente para que éste pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft deshabilitará la cuenta del cliente y eliminará los datos del mismo. El cliente puede eliminar datos personales en función de una solicitud del titular de datos mediante las funciones que se describen en la Documentación RGPD de solicitud de sujeto de datos de Azure.
Ubicación y transferencias de datos personales Los clientes tienen la capacidad de aprovisionar datos de clientes en reposo dentro de regiones geográficas especificadas, sujetos a ciertas excepciones establecidas en los Términos del producto y el Anexo de protección de datos de productos y servicios de Microsoft (DPA). También puede encontrar detalles adicionales sobre las implementaciones de servicio y la residencia de datos en el Anexo de Protección de datos (DPA) de Microsoft a los Términos del producto y en la página web de Infraestructura global de Azure .

En el caso de los datos personales transferidos fuera del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las medidas de seguridad adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft en virtud de las cláusulas contractuales estándar para procesadores y otros contratos modelo, Microsoft cumple los términos del Marco de privacidad de datos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como nuestros subprocesadores (según se define en el RGPD) para admitir funciones como el soporte técnico y el cliente, el mantenimiento del servicio y otras operaciones. Los subprocesadores a los que Microsoft transfiere datos de cliente, datos de soporte técnico o datos personales habrán firmado contratos por escrito con Microsoft que no sean menos protectores que el Anexo de protección de datos de productos y servicios de Microsoft. Todos los subprocesadores de terceros con los que se comparten los datos de cliente de Los servicios en línea principales de Microsoft se incluyen en la lista Subprocesador de servicios en línea. Todos los subprocesadores de terceros que pueden acceder a datos de soporte técnico (incluidos los datos de cliente que los clientes deciden compartir durante sus interacciones de soporte técnico) se incluyen en la lista de subprocesadores de Servicios en línea. 
Derechos del titular de los datos (DSR) Al operar como encargado de los datos, Microsoft pone a disposición del cliente (también conocido como el responsable de los datos) los datos personales de sus interesados y le posibilita realizar las solicitudes de los interesados cuando estos ejerzan sus derechos en virtud del RGPD. Microsoft lo hace de forma coherente con la funcionalidad del producto y su papel como encargado de los datos.     Si Microsoft recibe una solicitud de los titulares de los datos del cliente para ejercer uno o más de sus derechos en virtud de la Ley de protección de datos, la solicitud será redirigida al controlador de datos.

La Guía de solicitudes de los interesados de datos en Azure proporciona una descripción al controlador de datos sobre cómo apoyar los derechos de los sujetos de datos utilizando las capacidades en Azure.

Las solicitudes de un interesado para ejercer derechos en virtud del RGPD para los datos personales procesados para respaldar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft.

Por lo general, Microsoft agrega personal antes de usarlo para nuestras operaciones empresariales y no está en condiciones de identificar los datos personales de una persona específica en el agregado. Esta acción reduce el riesgo de privacidad para el individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.

En la Documentación del RGPD de solicitudes del titular de los datos de Azure, se proporciona una descripción de cómo admitir derechos del titular de los datos con las funciones presentes en Azure.
Una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines Esa evaluación dependerá de las necesidades y los propósitos de procesamiento del controlador de datos.

Microsoft toma medidas como la agregación de datos personales utilizados por Microsoft para admitir operaciones empresariales que admitan la prestación de los servicios, lo que minimiza el riesgo de dicho procesamiento para los interesados que usan el servicio.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos.
Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos Los principales riesgos para los derechos y libertades de los interesados del uso de Microsoft Azure dependerán de cómo y en qué contexto implementa, configura y usa Microsoft Azure el controlador de datos.

Microsoft toma medidas como la agregación de datos personales utilizados por Microsoft para admitir operaciones empresariales que admitan la prestación de los servicios, lo que minimiza el riesgo de dicho procesamiento para los interesados que usan el servicio.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. Las medidas que Microsoft toma para abordar estos riesgos se describen en los Términos del producto, como se detalla más adelante en este artículo.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a ayudar a proteger la seguridad de los datos del cliente. Las medidas de seguridad que Microsoft toma se describen en detalle en los Términos del producto.

Microsoft cumple con estrictas normas de seguridad y una metodología de protección de datos líder en la industria. Microsoft mejora continuamente sus sistemas para hacer frente a las nuevas amenazas. Puede encontrar más información sobre la gobernanza de la nube y las prácticas de privacidad en la página Administración del cumplimiento del Centro de confianza en la nube .

Microsoft toma medidas técnicas y organizativas razonables y adecuadas para proteger los datos personales que trata. Estas medidas incluyen, entre otras, directivas y prácticas de privacidad interna, compromisos contractuales y certificaciones de normativas internacionales y regionales. Encontrará más información en la página Privacidad del Centro de confianza.

Microsoft proporciona materiales de seguridad y privacidad significativos y transparentes orientados al cliente para ayudar a explicar el uso y el procesamiento de datos personales por parte de Microsoft. Se recomienda a los clientes que se pongan en contacto con Microsoft si tienen preguntas.

Además, cuando Microsoft actúa como procesador de datos, cumple las disposiciones aplicables del RGPD que se aplican a los procesadores de datos.

Cuando Microsoft procesa datos personales para sus operaciones empresariales, cumple con las obligaciones del RGPD que se aplican a los controladores de datos.

Más información