Solicitações de assunto de dados e o RGPD e CCPA

O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Detalhes adicionais podem ser encontrados no artigo Resumo do GDPR.

Da mesma forma, a Lei de Privacidade do Consumidor da Califórnia (CCPA), fornece direitos e obrigações de privacidade aos consumidores da Califórnia, incluindo direitos semelhantes aos Direitos do Titular dos Dados do RGDP, como o direito de excluir, acessar e receber (portabilidade) suas informações pessoais. O CCPA também fornece certas divulgações, proteções contra discriminação ao eleger direitos de exercício e requisitos de "aceitação/recusa" para determinadas transferências de dados classificadas como "vendas". Neste documento, você poderá obter informações sobre como concluir as solicitações de entidades de dados (DSRs) em RGPD e CCPA usando produtos e serviços da Microsoft.

Terminologia

Definições úteis para os termos do RGPD usados neste documento:

  • Controlador de Dados (Controlador): uma pessoa jurídica, uma autoridade pública, uma agência ou outro corpo que, isoladamente ou em conjunto com outras pessoas, determina a finalidade e o meio de processamento de dados pessoais.
  • Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.
  • Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.
  • Dados do cliente: dados produzidos e armazenados nas operações do dia a dia para o trabalho em andamento.

O que é um DSR?

O RGPD (Regulamento Geral sobre a Proteção de Dados) da União Europeia concede o direito às pessoas (conhecidas na regulamentação como entidades de dados) de gerenciar os dados pessoais coletados por um empregador ou outro tipo de agência ou organização (conhecidos como controladores de dados ou apenas controladores). O RGPD fornece às entidades de dados direitos específicos a seus dados pessoais. Esses direitos incluem obter cópias, solicitar alterações, restringir o processamento, excluir ou receber os dados em um formato eletrônico para que eles possam ser passados para outro controlador.

A Lei de Privacidade do Consumidor da Califórnia (CCPA), fornece direitos e obrigações de privacidade aos consumidores da Califórnia, incluindo direitos semelhantes aos Direitos do Titular dos Dados do GDPR, como o direito de excluir, acessar e receber (portabilidade) suas informações pessoais.

Como controlador, você é obrigado a considerar prontamente cada DSR e fornecer uma resposta substantiva tomando a ação solicitada ou fornecendo uma explicação para o motivo pelo qual o DSR não pode ser acomodado pelo controlador. Um controlador deve consultar seus próprios consultores legais ou de conformidade quanto ao descarte apropriado de um determinado DSR.

Vários processos podem estar envolvidos na conclusão de um DSR, sujeito às regras de RGPD de conformidade da sua organização.

  • Descoberta. O processo de determinar quais dados são necessários para concluir um DSR.
  • Acessar. Recuperação e transmissão potencial para o assunto dos dados das informações descobertas.
  • Retificar. Implemente alterações ou outros dados pessoais solicitados.
  • Restringir. Alterar o acesso ou processamento de dados persona restringindo o acesso ou removendo dados da nuvem da Microsoft.
  • Exportar. Fornecendo um formato "estruturado, comumente usado, de leitura por máquina" de dados pessoais para o titular de dados, conforme fornecido pelo "direito à portabilidade de dados" do RGPD".
  • Delete. Remoção permanente de dados pessoais da nuvem da Microsoft.

Considerações específicas sobre DSR

Ideias geradas por produtos ou serviços da Microsoft

Insights podem ser gerados por serviços (Viva Insights Pessoais etc.) Office 365 inclui serviços online que fornecem insights para usuários e organizações que os usam. Os dados gerados por esses serviços podem produzir dados pessoais relevantes para um DSR. Siga o link na lista abaixo para obter detalhes sobre processos DSR específicos do serviço.

DSRs para logs gerados pelo sistema

Logs e dados relacionados gerados pela Microsoft podem conter dados considerados pessoais sob a definição do GDPR de "dados pessoais". Não há suporte para restringir ou corrigir dados em logs gerados pelo sistema. Dados em logs gerados pelo sistema constituem ações concretas realizadas na nuvem da Microsoft e dados de diagnóstico, e a modificação de tais dados comprometeria o registro histórico de ações e aumentaria os riscos de segurança e fraude. A Microsoft oferece a capacidade de acessar, exportar e excluir registros gerados pelo sistema que podem ser necessários para concluir um DSR. Alguns exemplos de dados podem incluir:

  • Dados de uso de produtos e serviços, como os log de atividades do usuário
  • Dados de solicitações e consultas de pesquisa do usuário
  • Dados gerados por produtos e serviços como resultado da funcionalidade do sistema e da interação de usuários ou de outros sistemas.

Viva Engage

Excluir a conta de um usuário não removerá logs gerados pelo sistema para Viva Engage. Para remover os dados desses aplicativos, confira um dos seguintes recursos:

Nuvens nacionais

Em algumas nuvens nacionais, um administrador de TI global precisa excluir os logs gerados pelo sistema.

Serviços da Microsoft

Se sua organização ou usuários se envolverem com a Microsoft para receber, o suporte relacionado a produtos e serviços da Microsoft alguns desses dados poderão conter dados pessoais. Para saber mais informações, confira Solicitações de titulares dos dados ao suporte e aos Serviços profissionais da Microsoft sobre o RGPD.

Produtos do Microsoft Controller

Em algumas circunstâncias, os usuários de sua organização podem acessar produtos ou serviços da Microsoft para os quais a Microsoft é o controlador de dados. Nesses casos, os usuários precisam iniciar seu próprio DSRs diretamente na Microsoft, e a Microsoft preenche as solicitações diretamente para o usuário.

Produtos de terceiros

Para produtos e serviços de terceiros acessados por meio da autenticação de conta da Microsoft, as solicitações de assunto de dados devem ser direcionadas para a terceira parte aplicável.

Ferramentas de administração de Solicitações de Entidades de Dados

Saiba mais