Explorar RGPD

Completado

El parlamento europeo publicó el Reglamento general de protección de datos de la Unión Europea (UE) (también conocido como RGPD) en abril de 2016. Este reglamento se diseñó para regular las leyes de privacidad de datos en Europa. Se aplica tanto a los controladores de datos (principalmente a los servicios de consumidor) como a los procesadores de datos (servicios empresariales) que procesan los datos personales de una persona que reside en la UE.

Para Microsoft Online Services, nosotros somos el procesador de datos:

  • Microsoft presenta la declaración de privacidad del controlador de datos a sus interesados.
  • Microsoft diseña los cambios en las características de servicio existentes y las nuevas características en consonancia con los derechos del interesado.
  • Microsoft proporciona un aviso si hay una vulneración de datos cuando es probable que la vulneración "dé lugar a un riesgo para los derechos o la libertad de las personas". Nos comprometemos a notificar a las partes adecuadas en un plazo de 72 horas cuando se haya declarado una vulneración de datos.

En consonancia con las disposiciones del RGPD para la implementación de medidas técnicas y organizativas adecuadas y eficaces, Microsoft se alinea con los requisitos de control ISO 27001 e ISO 27018 y estamos ampliando la alineación con la ISO 27701 en todos nuestros servicios.

Solicitudes de los interesados (DSR)

El RGPD concede a las personas (o interesados) determinados derechos en relación con el procesamiento de sus datos personales, incluido el derecho a corregir datos inexactos, borrar datos o restringir su procesamiento, recibir sus datos y cumplimentar una solicitud para transmitirlos a otro responsable del tratamiento. El controlador es responsable de proporcionar a tiempo una respuesta coherente del reglamento general de protección de datos (RGPD). Microsoft (procesador de datos) ayuda a sus clientes (controladores) mediante características que facilitan y habilitan su cumplimiento y respuesta a los DSR.

Microsoft proporciona a los clientes herramientas administrativas para ayudar a encontrar datos personales y tomar medidas en respuesta a los DSR:

  • Búsqueda: Use herramientas de búsqueda y detección para buscar datos de clientes que puedan ser objeto de una solicitud de DSR.
  • Acceso: Recupere datos personales que residen en el servicio Microsoft y, si se le solicita, hágales una copia para que se pueda poner a disposición del interesado.
  • Rectificación: Realice cambios o implemente otras acciones solicitadas en los datos personales, si corresponde.
  • Restringir: restrinja el procesamiento de datos personales, ya sea quitando licencias para varios servicios de Microsoft o desactivando los servicios deseados siempre que sea posible. Los clientes también pueden quitar datos de la nube de Microsoft y conservarlos en el entorno local o en otra ubicación.
  • Eliminar: Eliminar de forma permanente los datos personales que residen en la nube de Microsoft.
  • Exportar o recibir (portabilidad): Envíe una copia electrónica (en un formato legible por máquina) de datos o información personal al titular de los datos.

Evaluaciones del impacto sobre la protección de datos

El RGPD requiere que los controladores preparen una evaluación de impacto de la protección de datos (DPIA) para operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a los productos y servicios de Microsoft que requiera la creación de un DPIA. Pero, dado que los productos y servicios de Microsoft son altamente personalizables, puede ser necesario un EIPD en función de los detalles de la situación de un cliente. Microsoft no controla esta información y tiene muy poco o ningún conocimiento sobre ella. El controlador de los datos debe determinar los usos adecuados de sus datos. Pero Microsoft reconoce el esfuerzo considerable necesario para realizar una EIPD y, por lo tanto, ha proporcionado algunos recursos para ayudar a los clientes a cumplir sus obligaciones en la EIPD para el RGPD, en caso de que tengan que hacerlo.

Más información