Evaluaciones de impacto en la protección de datos personales: Guía para controladores de datos que usen los Servicios Profesionales de Microsoft

Introducción a los Servicios Profesionales de Microsoft

Los Servicios profesionales de Microsoft incluyen un amplio grupo de arquitectos técnicos, ingenieros, consultores y profesionales de soporte técnico dedicados a cumplir la misión de Microsoft de motivar a sus clientes a que hagan más y logren más. Para obtener más información acerca de los Servicios profesionales de Microsoft, visite la página de confianza de los Servicios profesionales de Microsoft .

En los Servicios profesionales de Microsoft nos tomamos muy en serio nuestras obligaciones relativas al Reglamento general de protección de datos (RGPD). La información de este documento está diseñada para proporcionar información sobre cómo el soporte técnico de Microsoft y las ofertas de consultoría que los clientes pueden usar al preparar evaluaciones de impacto de protección de datos (DPIA) en virtud del RGPD.

Introducción a las EIPD

En virtud del Reglamento General de Protección de Datos (RGPD), los responsables de los datos deben preparar una DPIA para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Microsoft Professional Services que requiera necesariamente la creación de un DPIA por parte de un controlador de datos que lo use. En su lugar, si se requiere una DPIA depende de los detalles y el contexto del tipo de servicios y de cómo el controlador de datos usa los servicios profesionales.

La finalidad de este documento es proporcionar a los controladores de datos información sobre los Servicios Profesionales que les permitirá determinar si se necesita una EIPD y, en ese caso, qué detalles incluir.

Parte 1: determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un responsable del tratamiento de datos cree una evaluación de impacto de la protección de datos "[w]here un tipo de procesamiento en particular mediante nuevas tecnologías, y teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del procesamiento, es probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas". Además, establece factores concretos que indicarían un riesgo tan alto, que se describe en la tabla siguiente: Al determinar si se necesita una DPIA, un controlador de datos debe tener en cuenta estos factores, junto con otros factores pertinentes, a la luz de las implementaciones y usos específicos del controlador de datos de Professional Services.

Factor de riesgo Información relevante acerca de los Servicios Profesionales
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el procesamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física; Los Servicios Profesionales realizan un procesamiento de datos rutinario o automatizado, como el soporte técnico para reparaciones (por ejemplo, ayudar a los clientes cuando se rompe el equipo), la migración de cuenta y el análisis de vulnerabilidades del sistema. Las soluciones de Servicios profesionales, excepto el desarrollo de clientes cubiertas en la nota que se incluye más adelante en esta tabla, no están diseñadas para realizar el procesamiento en el que se basan las decisiones que producen efectos legales o similares significativos en las personas.
El procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales; Los Servicios profesionales no están diseñados para usarse en trabajos que requieran el procesamiento de categorías especiales de datos personales, excepto el desarrollo de cliente tratado en la nota que aparece más adelante en esta tabla.

Sin embargo, un controlador de datos podría usar soluciones de consultoría de Professional Services para procesar las categorías especiales enumeradas de datos. Por ejemplo, Professional Services ofrece desarrollo de bases de datos del sector sanitario que un controlador de datos podría usar para procesar los datos personales asociados a una condición de salud. Es responsabilidad del controlador evaluar y restringir o documentar este uso según corresponda.
Supervisión sistemática de un área accesible públicamente a gran escala. Los Servicios profesionales no están pensados para usarse en el trabajo que requiera o facilite dicha supervisión, excepto el desarrollo del cliente cubierto en la nota que se incluye más adelante en esta tabla.

Si un controlador de datos utilizó los Servicios profesionales para desarrollar este tipo de sistema o utilizó sistemas de TI para procesar los datos recopilados mediante dicha supervisión, la responsabilidad sería del controlador de datos, tal y como se describe más adelante en esta tabla.

Nota:

1 Con respecto a los criterios según los que el tratamiento se realice a "gran escala", el considerando 91 del RGPD aclara que: "el tratamiento de datos personales no debe considerarse a gran escala si se trata de datos personales de pacientes o clientes por parte de un médico, otro profesional sanitario o un abogado En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria".

[Nota de desarrollo personalizado] Professional Services ofrece una amplia variedad de soluciones de consultoría. Un controlador de datos podría solicitar potencialmente una solución que, de acuerdo con los criterios anteriores, sería una solución de alto riesgo. Por ejemplo, un controlador de datos puede solicitar que Professional Services cree una solución para desarrollar un motor de inteligencia empresarial para decisiones de empleo o aplicaciones de crédito o una solución que implique el seguimiento de usuarios, el uso especializado de inteligencia artificial (IA)/Analytics o el procesamiento de categorías especiales de datos personales.

Al principio de un compromiso, los Servicios Profesionales tiene procesos para evaluar y abordar soluciones de alto riesgo en las que se le puede pedir que trabajen. Por ello, los Servicios Profesionales pueden requerir garantías del controlador de datos sobre el cumplimiento del RGPD (por ejemplo, cláusulas contractuales), un plan de desarrollo de una EIPD u otros criterios (por ejemplo, instrucciones operativas acordadas) según se requiera de un procesador de datos en el RGPD. Sin embargo, independientemente de las acciones de Microsoft, es responsabilidad del controlador de datos desarrollar el DPIA con la entrada cuando proceda del procesador de los datos del cliente.

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una Evaluación de impacto en la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En dicha descripción sistemática podrían incluirse factores como el tipo de los datos procesados, durante cuánto tiempo se conservan, dónde se encuentran y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
  • una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
  • las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con este Reglamento, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.

La tabla siguiente contiene información sobre Los servicios profesionales que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles proporcionados en la tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de Professional Services.

Elementos de una EIPD Información relevante acerca de los Servicios Profesionales
Finalidades del tratamiento Las finalidades del tratamiento de datos mediante los Servicios Profesionales las determina el controlador que los implementa, configura y usa.

Según lo especificado por el Complemento de protección de datos de Microsoft Professional Services (MPSDPA), Microsoft, como procesador de datos, procesa el soporte técnico y los datos de consultoría solo para proporcionar los servicios solicitados a nuestro cliente, el controlador de datos. Microsoft no usará datos de soporte técnico y consultoría ni información derivada de ellos con fines publicitarios o comerciales similares.
Las finalidades del tratamiento de datos mediante los Servicios Profesionales las determina el controlador que los implementa, configura y usa. Según lo especificado por el Complemento de protección de datos de Microsoft Professional Services (MPSDPA), Microsoft, como procesador de datos, procesa el soporte técnico y los datos de consultoría solo para proporcionar los servicios solicitados a nuestro cliente, el controlador de datos. Microsoft no usará datos de soporte técnico y consultoría ni información derivada de ellos con fines publicitarios o comerciales similares.
Categorías de datos personales procesados Los datos de soporte técnico y consultoría se refieren a todos los datos, incluidos todos los archivos de texto, sonido, vídeo, imagen o software, proporcionados a Microsoft por el Cliente o en nombre de este (o que el Cliente autoriza a Microsoft a obtener de un servicio en línea) a través de una interacción con Microsoft para obtener servicios profesionales o soporte técnico. Esto puede incluir información recopilada por teléfono, chat, correo electrónico o formulario web. Puede incluir la descripción de problemas, los archivos transferidos a Microsoft para resolver problemas de soporte técnico, los solucionadores de problemas automatizados o el acceso a los sistemas de clientes de forma remota con el permiso del cliente.

Los datos de cliente y de soporte técnico no incluyen los datos de contacto o facturación del cliente, como la información de suscripción y los datos de pago, que Microsoft recopila y procesa en su capacidad como controlador de datos y que está fuera del ámbito de este documento.
Retención de datos Microsoft conservará Datos de Soporte y Consultoría para la duración de compromiso del cliente más un período de retención después de que termine el compromiso, según sea necesario, para garantizar la calidad y la continuidad del servicio. Por ejemplo, cuando se cierra un caso de soporte técnico, los datos normalmente se conservan durante cierto período de tiempo para asegurar la capacidad de hacer referencia a ellos si vuelve a surgir el problema y vuelve a abrirse el caso.

Cuando Professional Services proporciona soporte técnico, la longitud de la interacción se define cuando se cierra el caso de soporte técnico. Cuando Professional Services proporciona servicios de consultoría, la duración de la contratación a menudo se define mediante el orden de trabajo. En otros casos, la duración de la interacción se define mediante el mantenimiento de la relación empresarial. En todos los casos, los datos de soporte técnico y consultoría se eliminarán o devolverán a petición o de acuerdo con las instrucciones del cliente sin retrasos indebidos utilizando las funcionalidades descritas en la Guía de derechos del interesado de servicios profesionales.
Ubicación y transferencias de datos personales Debido a la naturaleza de los Servicios Profesionales, incluida la necesidad de proporcionar soporte técnico todo el día, los datos pueden transferirse en todo el mundo. Una lista de las ubicaciones en las que opera Microsoft está disponible a petición. En el caso de los servicios de consultoría, los datos pueden conservarse en el país si se acepta dentro de la orden de trabajo.

En el caso de los datos personales del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft garantiza que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las garantías adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Uso compartido de datos con terceros Microsoft comparte datos con terceros que actúan como nuestros sub procesadores para apoyar funciones como el soporte técnico y al cliente, el mantenimiento del servicio y otras operaciones. Los subcontratistas a los que Microsoft transfiera soporte técnico y datos de consultoría habrán suscrito contratos por escrito con Microsoft que no sean menos protectores que los términos de protección de datos de MPSDPA. Todos los subprocesadores de terceros con los que se comparten datos de soporte técnico y consultoría en MPSDPA se incluyen en la Lista de contratistas de soporte técnico comercial de Microsoft.

Microsoft no revelará datos de soporte técnico y consultoría a las fuerzas del orden a menos que lo exija la ley. Si el cumplimiento de la ley se pone en contacto con Microsoft con una demanda de soporte técnico y datos de consultoría, Microsoft intenta redirigir a la agencia de cumplimiento de la ley para solicitar los datos directamente al cliente. Si se ve obligado a revelar datos de soporte técnico y consultoría a las fuerzas del orden, Microsoft notificará rápidamente al cliente y proporcionará una copia de la demanda a menos que se prohíba legalmente hacerlo.

Tras recibir cualquier otra solicitud de terceros para datos de soporte técnico y consultoría, Microsoft notificará rápidamente al cliente a menos que la ley lo prohíba. Microsoft rechaza la solicitud a menos que la ley lo exija. Si la solicitud es válida, Microsoft intenta redirigir al tercero para que solicite los datos directamente al cliente.
Derechos del titular de los datos (DSR) Cuando actúa como procesador, Microsoft pone a disposición del cliente (controladores de datos) los datos personales de sus interesados y la capacidad de satisfacer las solicitudes del interesado cuando ejercen sus derechos en virtud del RGPD. Lo hacemos de forma coherente con la funcionalidad del producto y nuestro papel como procesador.  Si recibimos una solicitud del interesado del cliente para ejercer uno o varios de sus derechos en virtud del RGPD, redireccionaremos al interesado para que realice su solicitud directamente al responsable de los datos.

La Documentación de RGPD sobre las solicitudes del titular de los datos de los Servicios Profesionales proporciona una descripción de cómo el cliente puede abordar sus obligaciones de derechos del titular de datos en los Servicios Profesionales.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los objetivos Dicha evaluación depende de las necesidades y propósitos del tratamiento del controlador.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos. Microsoft confirma esto en MPSDPA.
Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos Los principales riesgos para los derechos y libertades de los interesados por el uso de Los Servicios Profesionales son una función de cómo y en qué contexto el responsable de los datos implementa, configura y utiliza los servicios profesionales y cualquier solución proporcionada por Professional Services.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. Las medidas que Microsoft toma para abordar estos riesgos se describen más adelante en este artículo.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a ayudar a proteger la seguridad de la información del cliente. De conformidad con las disposiciones del artículo 32 del RGPD, Microsoft implementó, mantendrá y seguirá las medidas técnicas y organizativas adecuadas cuya finalidad es proteger los Datos de Soporte y Consultoría frente al acceso, divulgación, modificación, pérdida o destrucción, ya sean accidentales, no autorizados o ilícitos.

Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros.

Más información