Pedidos de Titulares de Dados do Windows 365 para o RGPD e CCPA

O GDPR (Regulamento Geral sobre a Proteção de Dados)da União Europeia concede o direito às pessoas (conhecidas na regulamentação como entidades de dados ) de gerenciar os dados pessoais coletados por um empregador ou outro tipo de agência ou organização (conhecidos comocontroladores de dados ou apenas controladores). Os dados pessoais são definidos nas linhas gerais no RGPD como todos os dados relacionados a uma pessoa física identificada ou identificável. O GDPR fornece às entidades de dados direitos específicos a seus dados pessoais. Esses direitos incluem obter cópias, solicitar alterações, restringir o processamento, excluir ou receber os dados em um formato eletrônico para que eles possam ser passados para outro controlador. Uma solicitação formal feita por uma entidade de dados a um controlador para executar uma ação em seus dados pessoais é chamada neste documento de Solicitação de Direitos da Entidade de Dados ou DSR.

Da mesma forma, a Lei de Privacidade do Consumidor da Califórnia (CCPA), fornece direitos e obrigações de privacidade aos consumidores da Califórnia, incluindo direitos semelhantes aos Direitos do Titular dos Dados do RGDP, como o direito de excluir, acessar e receber (portabilidade) suas informações pessoais. O CCPA também fornece certas divulgações, proteções contra discriminação ao eleger direitos de exercício e requisitos de "aceitação/recusa" para determinadas transferências de dados classificadas como "vendas". As vendas são amplamente definidas para incluir o compartilhamento de dados para uma consideração valiosa. Para obter mais informações sobre o CCPA, confira a Lei de Privacidade do Consumidor da Califórnia e as Perguntas Frequentes Sobre a Lei de Privacidade do Consumidor da Califórnia.

Guia sobre como usar produtos, serviços e ferramentas administrativas da Microsoft para ajudar nossos clientes controladores a encontrarem e tomarem medidas em relação a dados pessoais para responder aos DSRs. Especificamente, essa diretriz mostra como localizar e acessar os dados pessoais ou informações pessoais que residem na nuvem da Microsoft e como executar ações relacionadas a eles. Aqui está uma rápida visão geral dos processos descritos neste guia:

  • Descobrir – use ferramentas de pesquisa e descoberta para localizar dados pessoais que possam ser a entidade de uma solicitação DSR. Após a coleta dos documentos que atendem à solicitação, você pode executar uma ou mais das ações de DSR a seguir para responder à solicitação. Como alternativa, você pode determinar que a solicitação não atende às diretrizes da sua organização para responder a DSRs.
  • Acesso: recupere dados pessoais que residem na nuvem da Microsoft e, se solicitado, faça uma cópia para disponibilizar para o titular dos dados.
  • Retificação: faça alterações ou implemente outras ações solicitadas nos dados pessoais, onde for possível.
  • Restringir: restrinja o processamento de dados pessoais, removendo licenças para vários serviços do Azure ou desativando os serviços desejados sempre que possível. Você também pode remover dados da nuvem da Microsoft e retê-los localmente ou em outro lugar.
  • Exclusão: remova permanentemente os dados pessoais que residem na nuvem da Microsoft.
  • Exportar/Receber (Portabilidade): forneça uma cópia eletrônica (em formato legível para computador) de dados pessoais ou informações pessoais para o titular dos dados. Os dados pessoais do CCPA são quaisquer informações relacionadas a uma pessoa, identificável ou não. Não há distinção entre as funções pública, privada ou de trabalho de uma pessoa. O termo definido "informações pessoais" se alinha aproximadamente aos "dados pessoais" do RGPD. No entanto, o CCPA também inclui dados da família e do domicílio. Para obter mais informações sobre o CCPA, confira a Lei de Privacidade do Consumidor da Califórnia e as Perguntas Frequentes Sobre a Lei de Privacidade do Consumidor da Califórnia.

Cada seção deste guia descreve os procedimentos técnicos que uma organização controladora de dados pode realizar para responder a uma DSR para dados pessoais na nuvem da Microsoft.

Terminologia

A lista a seguir fornece as definições dos termos que são relevantes para este guia.

  • Controlador: a pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que, sozinha ou em conjunto com terceiros, determina os fins e os meios do processamento de dados pessoais, onde tais fins e meios são determinados por lei da União ou Estado-Membro, o controlador ou os critérios específicos para sua indicação podem ser fornecidos por lei da União ou Estado-Membro.
  • Dados pessoais e titular dos dados: qualquer informação relativa a uma pessoa natural identificada ou identificável (“titular dos dados”); uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, especialmente por referência a um identificador, como nome, um número de identificação, dados de localização, um identificador online ou um ou mais fatores específicos de natureza física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
  • Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.
  • Dados do cliente: Todos os dados, incluindo todos os arquivos de texto, som, vídeo ou imagem e software, fornecidos à Microsoft por um cliente, em nome de um cliente ou por meio do uso do serviço corporativo. Os Dados do Cliente incluem (1) informações identificáveis dos utilizadores finais (por exemplo, nomes de utilizador e informações de contacto no Microsoft Entra ID) e Conteúdo do Cliente que um cliente carrega ou cria em serviços específicos (por exemplo, conteúdo do cliente numa conta de Armazenamento do Azure, conteúdo do cliente de uma Base de Dados SQL do Azure ou imagem de máquina virtual de um cliente nas Máquinas Virtuais do Azure).
  • Logs gerados pelo sistema: logs e dados relacionados gerados pela Microsoft que ajudam a Microsoft a fornecer serviços corporativos aos usuários. Os logs gerados pelo sistema contêm principalmente dados pseudonimizados, como identificadores exclusivos — normalmente, um número gerado pelo sistema que não pode, por si só, identificar uma pessoa individual, mas é usado para fornecer os serviços corporativos aos usuários. Os logs gerados pelo sistema também podem conter informações identificáveis sobre os usuários finais, como um nome de usuário.

Como usar este guia

Este guia consiste em duas partes:

  • Parte 1: Respondendo a Solicitações de Entidade de Dados para Dados do Cliente: a Parte 1 deste guia discute como acessar, retificar, restringir, excluir e exportar dados de aplicativos nos quais você criou dados. Esta seção detalha como executar o DSRs no conteúdo do cliente e também as informações identificáveis dos usuários finais.
  • Parte 2: respondendo a Solicitações do Titular dos Dados para Logs Gerados pelo Sistema: quando você usa os serviços corporativos da Microsoft, a Microsoft gera algumas informações, conhecidas como Logs Gerados pelo Sistema, para fornecer o serviço. A parte 2 deste guia discute como acessar, excluir e exportar essas informações para o Azure.

Understanding DSRs for Microsoft Entra ID and Microsoft Windows 365 (Compreender os DSRs para o Microsoft Entra ID e o Microsoft Windows 365)

Ao considerar os serviços fornecidos aos clientes empresariais, a execução de DSRs tem de ser sempre compreendida no contexto de um inquilino específico do Microsoft Entra. Nomeadamente, os DSRs são sempre executados num determinado inquilino do Microsoft Entra. Se um utilizador estiver a participar em vários inquilinos, é importante realçar que um determinado DSR é executado no contexto do inquilino específico em que o pedido foi recebido. Este contexto é fundamental para compreender, pois significa que a execução de um DSR por um cliente empresarial não afetará os dados de um cliente empresarial adjacente.

O mesmo se aplica também ao Microsoft Windows 365 fornecido a um cliente empresarial: a execução de uma DSR numa conta do Windows 365 associada a um inquilino do Microsoft Entraapenas se refere aos dados no inquilino. Além disso, é importante compreender o seguinte ao processar contas do Windows 365 num inquilino:

  • Se um utilizador do Windows 365 criar uma subscrição do Azure, a subscrição será processada como se fosse um inquilino do Microsoft Entra. Consequentemente, os DSRs estão no âmbito do inquilino, conforme descrito anteriormente.
  • Se uma subscrição do Azure criada através de uma conta do Windows 365 for eliminada, não afetará a conta real do Windows 365. Novamente, conforme indicado anteriormente, os DSRs executados na subscrição do Azure estão limitados ao âmbito do próprio inquilino.

Parte 1: Guia DSR para dados de clientes

Executar os DSRs em relação aos dados de cliente

A Microsoft fornece a capacidade de aceder, eliminar e exportar determinados Dados do Cliente através do portal do Azure e também diretamente através de interfaces de programação de aplicações (APIs) pré-existentes ou interfaces de utilizador (UIs) para serviços específicos (também conhecidos como experiências no produto). Os detalhes sobre tais experiências de produto estão descritos na documentação de referência dos respectivos serviços.

Importante

Os serviços que oferecem suporte às DSRs de produto exigem o uso direto da interface de programação de aplicativos (API) do serviço ou da interfaces de usuário (IU), descrevendo operações CRUD (criar, ler, atualizar, excluir) aplicáveis. O Windows 365 não suporta totalmente a utilização direta de interfaces de programação de aplicações (APIs) para DSRs, pelo que os pedidos têm de ser submetidos ao abrir um pedido de suporte (veja as instruções abaixo). Consequentemente, é necessário executar as DSRs em um determinado serviço e também executar uma DSR no portal do Azure para concluir uma solicitação completa de um determinado titular dos dados. Consulte a documentação de referência de serviços específicos para obter mais detalhes.

Etapa 1: Descoberta

A primeira etapa ao responder a uma DSR é localizar os dados pessoais do titular da solicitação. Este primeiro passo - localizar e rever os dados pessoais em causa - irá ajudá-lo a determinar se um DSR cumpre os requisitos da sua organização para respeitar ou recusar uma DSR. Por exemplo, depois de encontrar e analisar os dados pessoais em questão, pode ser que você determine que a solicitação aos requisitos da sua organização porque afetaria negativamente os direitos e liberdade de terceiros.

Para Pedidos de Titulares de Dados específicos dos dados de utilizador do Windows 365, os administradores inquilinos terão de abrir um pedido de suporte da Microsoft para obter assistência na localização dos dados pessoais que estão sujeitos ao DSR. Recomendamos que siga as instruções relacionadas com o nível de subscrição do Windows 365.

Windows 365 Business

O acesso à ajuda e ao suporte é fornecido através do Centro de Administração da Microsoft. Para abrir um pedido de suporte para uma DSR:

  • Clique no ícone Ajuda na faixa do Centro de Administração da Microsoft ou selecione Ajuda & suporte no canto inferior direito da página Centro de Administração da Microsoft.
  • No campo de pesquisa, escreva "Pedido do Requerente de Dados" ou "DSR" e, em seguida, clique no botão Contactar Suporte .
  • Preencha as informações necessárias no pedido de serviço online e, em seguida, selecione Contactar-me.

Para obter instruções sobre como obter ajuda e abrir um pedido de suporte, consulte Obter suporte para o Microsoft 365 para empresas. O suporte está incluído como parte da sua assinatura do Windows 365.

Windows 365 Enterprise

O acesso à ajuda e ao suporte é fornecido através do Microsoft Endpoint Manager. Para abrir um pedido de suporte para uma DSR:

  • Aceda a Resolução de problemas + suporte noutro nó no centro de administração e selecione Ajuda e suporte para abrir uma experiência de ecrã inteiro de Ajuda e suporte.
  • Selecione Windows 365.
  • No campo de pesquisa, escreva "Pedido do Requerente de Dados" ou "DSR" e, em seguida, clique no botão Contactar Suporte .
  • Preencha as informações necessárias no pedido de serviço online e, em seguida, clique em Contactar-me.

Para obter instruções sobre como obter ajuda e abrir um pedido de suporte, consulte Como obter suporte no Microsoft Endpoint Manager. O suporte está incluído como parte da sua assinatura do Windows 365.

Etapa 2: Acesso

Depois de encontrar Dados de Cliente com dados pessoais que atendem a uma DSR, cabe a você e sua organização decidir quais dados fornecer para o titular dos dados. Você pode lhes fornecer uma cópia do documento real, uma versão redigida corretamente ou uma captura de tela das partes que você considera apropriadas para compartilhar. Para cada uma dessas respostas a uma solicitação de acesso, você precisará recuperar uma cópia do documento ou outro item que contenha os dados dinâmicos.

Ao oferecer uma cópia ao titular dos dados, talvez você tenha que remover ou redigir informações pessoais sobre outros titulares de dados e quaisquer informações confidenciais.

Etapa 3: Retificação

Se um titular dos dados pediu para corrigir os dados pessoais que residem nos dados da sua organização, você e sua organização terão de determinar se é apropriado aceitar a solicitação. A correção dos dados podem incluir a realização de ações como editar, redigir ou remover dados pessoais de um documento ou de um outro tipo de item.

Enquanto processador de dados, a Microsoft não oferece a capacidade de corrigir registos gerados pelo sistema, uma vez que reflete atividades factuais e constitui um registo histórico de eventos nos serviços Microsoft. No que diz respeito ao Windows 365, os administradores não podem atualizar as informações específicas do dispositivo ou da aplicação. Se um usuário final desejar corrigir seus dados pessoais (como o nome do dispositivo), ele precisará fazer isso diretamente em seu dispositivo. Estas alterações são sincronizadas da próxima vez que se ligarem ao Windows 365.

Etapa 4: Restrição

Os entidades de dados podem solicitar que você restrinja o processamento de seus dados pessoais. Fornecemos tanto o portal do Azure como interfaces de programação de aplicativos (APIs) ou interfaces de usuário (UIs) pré-existentes. Essas experiências fornecem ao administrador de locatário do cliente corporativo a capacidade de gerenciar essas DSRs por meio de uma combinação de exportação e exclusão de dados.

Etapa 5: Exclusão

O “direito de apagar” através da remoção de dados pessoais dos Dados de Clientes de uma organização é uma proteção fundamental do RGPD. A remoção de dados pessoais inclui a remoção de todos os dados pessoais e logs gerados pelo sistema, exceto as informações de logs de auditoria. O Windows 365 predefine a prática padrão do Microsoft Endpoint Manager para auditar, exportar ou eliminar dados pessoais.

Parte 2: Logs gerados pelo sistema

Os registos de auditoria fornecem aos administradores inquilinos um registo das atividades que geram uma alteração no Microsoft Windows 365. Os logs de auditoria estão disponíveis para muitas atividades de gerenciamento e, normalmente, criam, atualizam (editam), excluem e atribuem ações. As tarefas remotas que geram eventos de auditoria também podem ser examinadas. Estes registos de auditoria podem conter dados pessoais. Os administradores não podem excluir os logs de auditoria. Para obter detalhes, veja Auditar dados pessoais.

Se precisar de assistência para executar um registo de auditoria, siga as instruções descritas na Parte 1 acima.

Saiba mais