Avaliações de impacto da proteção de dados: diretrizes para controladores de dados usando Dynamics 365 e Power Platform

O Regulamento Geral sobre a Proteção de Dados (GDPR) exige que os controladores preparem uma Avaliação de Impacto de Proteção de Dados (DPIA) para operações que 'provavelmente resultariam em alto risco para os direitos e a liberdade de pessoas físicas'. Não há nada inerente ao Dynamics 365 e ao Power Platform que necessariamente exigiria a criação de uma DPIA por um controlador de dados usando-a. Em vez disso, se uma DPIA é necessária dependerá dos detalhes e do contexto de como o controlador de dados implanta, configura e usa Dynamics 365 ou Power Platform. Em todo caso, uma AIPD deve começar no início de um projeto e ser executada em paralelo ao processo de planejamento e desenvolvimento.

A finalidade deste documento é fornecer aos controladores de dados informações sobre Dynamics 365 e Power Platform que ajudarão você a determinar se você precisa de uma DPIA e, se for o caso, quais detalhes incluir.

Observação

A Microsoft não está fornecendo nenhum conselho legal neste documento. Este documento está sendo fornecido apenas para fins informativos. Os clientes são incentivados a trabalhar com seus oficiais de privacidade (e/ou DPO (Data Protection Officer) quando designados) e/ou advogados e/ou consultores para determinar a necessidade e o conteúdo de quaisquer DPIAs relacionadas ao uso da Microsoft Dynamics 365, Power Platform ou qualquer outro serviço online da Microsoft.

Parte 1: Determinar se a DPIA é necessária

O artigo 35 do GDPR exige que um controlador de dados crie uma Avaliação de Impacto de Proteção de Dados '[w]aqui um tipo de processamento em particular usando novas tecnologias e levando em conta a natureza, o escopo, o contexto e as finalidades do processamento, provavelmente resultará em um alto risco para os direitos e liberdades das pessoas naturais." Ele define ainda fatores específicos que indicam um alto risco, que são discutidos na tabela a seguir: Ao determinar se uma DPIA é necessária, um controlador de dados deve considerar esses fatores, juntamente com outros fatores relevantes, à luz das implementações e usos específicos do controlador de Dynamics 365 e power platform.

Fator de risco Informações relevantes sobre Dynamics 365 e Power Platform
Avaliação sistemática e completa dos aspectos pessoais relacionados a pessoas singulares, baseada no tratamento automatizado, incluindo a criação de perfis, sendo com base nela adotadas decisões que produzem efeitos legais relativamente à pessoa física ou que a afetem significativamente de forma semelhante; Alguns serviços Dynamics 365 e do Power Platform executam determinado processamento automatizado de dados, como pontuação de lead ou de oportunidade (por exemplo, prevendo a probabilidade de uma venda ocorrer). No entanto, Dynamics 365 e os serviços do Power Platform não são projetados para executar o processamento em quais decisões são baseadas que produzem efeitos legais ou igualmente significativos sobre indivíduos.

No entanto, como Dynamics 365 e o Power Platform são serviços altamente personalizáveis, um controlador de dados poderia potencialmente configurá-los para serem usados para esse processamento. Os controladores de dados devem fazer essa determinação com base no uso do Dynamics 365 e do Power Platform.
Processamento em larga escala 1 de categorias especiais de dados (dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação sindical, e o processamento de dados genéticos, dados biométricos usados para identificar exclusivamente uma pessoa natural, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa natural), ou de dados pessoais relacionados a condenações criminais e delitos; Dynamics 365 e os serviços do Power Platform não foram projetados para processar categorias especiais de dados pessoais em grande escala.

No entanto, um controlador de dados poderia usar Dynamics 365 e o Power Platform para processar as categorias especiais enumeradas de dados. Além disso, Dynamics 365 e o Power Platform é um serviço altamente personalizável que permite que o cliente acompanhe ou processe dados pessoais, incluindo categorias especiais de dados pessoais. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e normalmente teria uma visão insuficiente para esse uso.
Monitoramento sistemático de uma área de acesso público em grande escala Dynamics 365 e o Power Platform não foram projetados para realizar ou facilitar esse monitoramento em grande escala.

No entanto, o controlador de dados poderia usá-lo para processar dados coletados por meio de tais monitoramentos. Dynamics 365 e o Power Platform são serviços altamente personalizáveis que permitem que o cliente acompanhe ou processe qualquer tipo de dados, incluindo dados de monitoramento. Como processador de dados, a Microsoft não tem controle sobre esse uso e tem pouca ou nenhuma visão sobre esse uso. Ele é inclumbent no controlador de dados para determinar os usos apropriados dos dados do controlador de dados.

Observação

1 Com relação aos critérios que o processamento é em “grande escala”, o Recital 91 do RGPD esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes de um médico, outro profissional da saúde ou advogado. Nesses casos, a avaliação de impacto sobre a proteção dos dados não deve ser obrigatória.”

Parte 2: Conteúdo de uma DPIA

O artigo 35(7) do GDPR determina que uma Avaliação de Impacto de Proteção de Dados especifica as finalidades de processamento e uma descrição sistemática do processamento previsto. Uma descrição sistemática em uma DPIA abrangente pode incluir fatores como os tipos de dados processados, quanto tempo os dados são retidos, onde os dados estão localizados e transferidos e quais terceiros podem ter acesso aos dados. Idealmente, um diagrama de fluxo de dados dá suporte à descrição. Além disso, a AIPD deve incluir:

  • Uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação às finalidades;
  • Uma avaliação dos riscos aos direitos e liberdades das pessoas naturais; E
  • As medidas usadas para enfrentar os riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção de dados pessoais e demonstrar a conformidade com o GDPR levando em conta os direitos e os interesses legítimos de entidades de dados e outras pessoas envolvidas.

A tabela abaixo contém informações sobre Dynamics 365 e Power Platform relevantes para cada um desses elementos. Como na Parte 1, os controladores de dados devem considerar os detalhes fornecidos abaixo, juntamente com outros fatores relevantes, no contexto das implementações e usos específicos do controlador de dados de Dynamics 365 ou do Power Platform.

Elementos da AIPD Informações relevantes sobre Dynamics 365 e Power Platform
Propósitos de processamento A finalidade do processamento de dados usando Dynamics 365 e Power Platform é determinada pelo controlador que implementa, configura e os usa.

Conforme especificado pelos Termos do Produto e pelo Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (DPA), a Microsoft, como processadora de dados, processa os Dados do Cliente para fornecer ao cliente serviços online de acordo com as instruções documentadas do cliente.

Conforme detalhado no DPA ( Product Terms and Products and Services Data Protection), a Microsoft também usa dados pessoais para dar suporte a um conjunto limitado de operações comerciais.

A Microsoft é controladora do processamento de dados pessoais para dar suporte a essas operações de negócios específicas. Geralmente, a Microsoft agrega dados pessoais antes de usá-los para nossas operações comerciais, removendo a capacidade da Microsoft de identificar indivíduos específicos. A Microsoft usa dados pessoais no formulário menos identificável que darão suporte ao processamento necessário para operações comerciais.

A Microsoft não usará Dados do Cliente ou informações derivadas dele para criação de perfil ou para publicidade ou fins comerciais semelhantes.

Dynamics 365 é uma plataforma online para processamento que apresenta várias serviços online discretas, cada uma das quais tem propósitos distintos de processamento. Você pode encontrar descrições de cada oferta de serviço Dynamics 365 aqui e a oferta de serviços do Power Platform aqui.

Dynamics 365 e o Power Platform processam dados pessoais apenas para fornecer aos clientes seus serviços online, incluindo fins compatíveis com o fornecimento desses serviços.
Categorias de dados pessoais processados Dados do cliente: todos os dados, incluindo texto, som, vídeo ou arquivos de imagem e software, que os clientes fornecem à Microsoft ou que são fornecidos em nome dos clientes por meio do uso do Microsoft serviços online. Inclui os dados que os clientes carregam para armazenamento ou processamento e personalizações.

Dados gerados pelo serviço: dados gerados pela Microsoft quando você opera um serviço, como dados de uso ou desempenho. A maioria desses dados contém identificadores pseudônimos gerados pela Microsoft.

Dados dos Serviços Profissionais: todos os dados, incluindo todo texto, som, vídeo, arquivos de imagem ou software fornecidos à Microsoft por ou em nome do Cliente (ou que o Cliente autoriza a Microsoft a obter de um Produto) ou obtido ou processado por ou em nome da Microsoft por meio de um compromisso com a Microsoft para obter serviços profissionais.

Para obter mais informações sobre os dados processados pelo Dynamics 365 e pelo Power Platform, consulte oAdendo de Proteção de Dados de Produtos e Serviços da Microsoft.
Retenção de dados A Microsoft manterá os Dados do Cliente durante a duração do direito do cliente de usar o serviço, até que todos os Dados do Cliente sejam excluídos ou retornados de acordo com as instruções do cliente ou os termos do DPA (Product Terms and Services Data Protection). Durante o período da assinatura do cliente, o cliente terá a capacidade de acessar e extrair dados do cliente armazenados em cada serviço online. A Microsoft geralmente manterá os Dados do Cliente armazenados no Serviço Online em uma conta de função limitada por 90 dias após a expiração ou término da assinatura do cliente para que o cliente possa extrair os dados. Após o término do período de retenção de 90 dias, a Microsoft desabilitará a conta do cliente e excluirá os Dados do Cliente.

O cliente pode excluir Dados do Cliente e dados pseudônimos a qualquer momento usando os recursos descritos no Guia de Direitos de Entidade de Dados do Dynamics 365 e do Power Platform Data Subject.
Localização e transferências de dados pessoais Os clientes têm a capacidade de provisionar dados do cliente em repouso dentro de regiões geográficas especificadas, sujeitos a determinadas exceções conforme estabelecido no DPA (Products and Services Data Protection Addendum) . Para obter mais informações sobre implantações de serviço e residência de dados, visite o Microsoft Trust Center e um artigo do Dynamics 365 e do Power Platform sobre localização e disponibilidade de dados em Dynamics 365 disponibilidade e locais de dados e disponibilidade internacional do Microsoft Power Platform.

Para dados pessoais transferidos da Área Econômica Europeia, Suíça e Reino Unido, a Microsoft garantirá que as transferências de dados pessoais para um país terceiro ou uma organização internacional estejam sujeitas a salvaguardas apropriadas, conforme descrito no artigo 46º do GDPR. Além dos compromissos da Microsoft sob as Cláusulas Contratuais Padrão para processadores e outros contratos de modelo, a Microsoft continua a respeitar os termos da Estrutura de Privacidade de Dados.
Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos Essa avaliação dependerá das necessidades e propósitos de processamento do controlador de dados.

A Microsoft adota medidas como a agregação de dados pessoais usados pela Microsoft para dar suporte a operações comerciais para dar suporte à prestação dos serviços, minimizando o risco desse processamento para os usuários de dados que usam o serviço.

No que se refere ao processamento realizado pela Microsoft, esse processamento é necessário e proporcional à prestação dos serviços ao controlador de dados.
Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados Os principais riscos aos direitos e liberdades dos sujeitos de dados do uso de Dynamics 365 ou do Power Platform dependerão de como e em que contexto o controlador de dados implementa, configura e o usa.

A Microsoft adota medidas como a agregação de dados pessoais quando usada para dar suporte a operações comerciais, reduzindo o risco desse processamento para os usuários de dados que usam o serviço.

No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para resolver esses riscos são discutidas abaixo.
Compartilhamento de dados com subprocessadores de terceiros A Microsoft compartilha dados com terceiros que atuam como nossos subprocessadores (conforme definido no GDPR) para dar suporte a funções como suporte técnico e cliente, manutenção de serviço e outras operações. Todos os subprocessadores para os quais a Microsoft transfere dados do cliente, dados de suporte ou dados pessoais terão firmado contratos escritos com a Microsoft que não são menos protetores do que os termos no DPA (Product Terms and Products and Services Data Protection). Todos os subprocessadores de terceiros com os quais os Dados do cliente do Core Online Services da Microsoft são compartilhados estão incluídos na lista Subcontratados dos serviços on-line da Microsoft.
Direitos das entidades de dados Ao operar como um processador, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais dos seus assuntos de dados e a capacidade de preencher as solicitações de assunto de dados quando eles exercitarem suas permissões sob o GDPR. A Microsoft faz isso de forma consistente com a funcionalidade do produto e nossa função como processador.  Se a Microsoft receber uma solicitação dos titulares de dados do cliente para exercer um ou mais de seus direitos sob o GDPR, redirecionaremos o sujeito de dados para fazer a solicitação diretamente para o controlador de dados.

Consulte o guia Dynamics 365 e Solicitações de Assunto de Dados do Power Platform para obter informações para controladores de dados sobre como dar suporte aos direitos dos titulares de dados usando os recursos em Dynamics 365 e no Power Platform.

A Microsoft geralmente agrega dados pessoais antes de usá-los para nossas operações comerciais e não está em posição de identificar dados pessoais de um indivíduo específico no agregado. Isso reduz o risco de privacidade para o indivíduo. Na situação em que a Microsoft não está em posição de identificar o indivíduo, não pode oferecer suporte aos direitos do titular dos dados para acesso, eliminação, portabilidade ou restrição ou objeção de processamento.
Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos A Microsoft está comprometida em ajudar a proteger a segurança dos Dados do Cliente. As medidas de segurança que a Microsoft adota são descritas detalhadamente nos Termos do Produto.

A Microsoft cumpre os rígidos padrões de segurança e a metodologia de proteção de dados líder do setor. A Microsoft está melhorando continuamente seus sistemas para lidar com novas ameaças. Mais informações sobre as práticas de privacidade e governança de nuvem estão disponíveis na página Gerenciando a conformidade do Trust Center na nuvem .

A Microsoft toma medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processa. Essas medidas incluem, mas não se limitam a políticas e práticas de privacidade internas, compromissos contratuais e certificações padrão internacionais e regionais. Mais informações estão disponíveis na página Privacidade do Trust Center.

Para obter uma lista detalhada de controles gerenciados pela Microsoft (controles técnicos e de processos empresariais) para segurança implementada pelo Dynamics 365 e pelo Power Platform, visite o Portal de Confiança do Serviço. Além disso, quando a Microsoft atua como um processador de dados, ele cumpre todas as outras obrigações gdpr que se aplicam aos processadores de dados.

Em que a Microsoft processa dados pessoais para suas operações comerciais, ele cumpre as obrigações do GDPR que se aplicam aos controladores de dados.

Saiba mais