Real Decreto Español 1720/2007, Ley Orgánica Española 15/1999 (LOPD)

Información general sobre el Real Decreto 1720/2007, y la Ley Orgánica Española 15/1999

La AEPD es la autoridad pública que controla el cumplimiento de la Ley Orgánica Española 15/1999 de Protección de Datos de Carácter Personal (Ley Orgánica 15/1999 de Protección de Datos, o LOPD), incluyendo la transferencia transfronteriza de datos. En el año 2014, la AEPD revisó los términos y condiciones de Microsoft aplicables en las cláusulas de contrato de modelo de la UE, que cubren a Microsoft Azure, Dynamics 365 y Office 365, y emitió una resolución en la que se determinaba que estos términos ofrecían las salvaguardas adecuadas para que los clientes pudieran transferir sus datos personales de los clientes a los servicios mencionados.

El Título VIII del Real Decreto 1720/2007 establece requisitos estrictos para el procesamiento de datos personales, incluyendo un listado específico de las medidas de seguridad básicas, intermedias y de alto nivel que deben ser implementadas. Microsoft contrató a una firma externa de auditoría independiente en España, BDO Auditores, para evaluar el cumplimiento de las medidas de seguridad de alto nivel por parte de Microsoft Azure y Office 365 y el cumplimiento de las medidas de seguridad de nivel intermedio por parte de Microsoft Dynamics 365, según lo establecido en el Real Decreto 1720/2007. Basándose en entrevistas, visitas a las instalaciones y la revisión de las medidas y controles de seguridad ambiental y física, el auditor determinó que los sistemas de información, las instalaciones y el procesamiento de datos de Microsoft Azure y Office 365 cumplían con los estándares de alto nivel sin puntos que requieran corrección alguna.

El Real Decreto Español 1720/2007, la Ley Orgánica 15/1999 y Microsoft

Microsoft fue el primer proveedor de Servicios en la Nube a gran escala en recibir, para beneficio de sus clientes, una autorización de la Agencia Española de Protección de Datos (AEPD) por el cumplimiento de los altos estándares que rigen la transferencia internacional de datos de acuerdo con la Ley Orgánica 15/1999 de Protección de Datos (LOPD). Microsoft es, además, el primer proveedor de Servicios en la Nube a gran escala en obtener una certificación de auditoría de terceros por el cumplimiento de sus servicios en línea con las medidas de seguridad establecidas en el Título VIII del Real Decreto 1720/2007. Esta autorización permite a los clientes realizar transferencias de datos personales en los servicios de Microsoft Azure, Dynamics 365 y Office 365 cubiertos por las cláusulas de contrato modelo de la Unión Europea.

Servicios y plataformas en la nube dentro de Microsoft

Office 365 y LOPD

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage

Auditorías, informes y certificados

Microsoft Azure

  • Autorización (español): Resolución española de protección de datos que indica que los servicios de Office 365, Azure y Dynamics 365 proporcionan una protección adecuada para cumplir con las leyes locales de protección de datos españolas.

Microsoft Office 365

  • Autorización (español): Resolución española de protección de datos que indica que los servicios de Office 365, Azure y Dynamics 365 proporcionan una protección adecuada para cumplir con las leyes locales de protección de datos españolas.

Microsoft Dynamics 365

  • Autorización (español): Resolución española de protección de datos que indica que los servicios de Office 365, Azure y Dynamics 365 proporcionan una protección adecuada para cumplir con las leyes locales de protección de datos españolas.

Preguntas más frecuentes

¿Cómo beneficia a los clientes de Microsoft cumplir con los estándares de alto nivel?

El estándar de alto nivel es aplicable al procesamiento de datos sensibles tales como, la información de salud. Los clientes que utilizan Microsoft Azure y Office 365 pueden estar seguros de que sus datos sensibles están siendo procesados de acuerdo con el Real Decreto 1720/2007.

¿Puedo usar el cumplimiento normativo de Microsoft en el proceso de certificación de mi organización?

Sí. Si su organización requiere o está buscando una acreditación conforme a la LOPD o al Real Decreto 1720/2007, puede utilizar la autorización de AEPD y la certificación de las medidas de seguridad en su evaluación de cumplimiento. Sin embargo, usted es responsable de contratar a un asesor para que evalúe la implementación en Microsoft Azure, Dynamics 365 u Office 365, y de los controles y procesos dentro de su propia organización.

Recursos