Lista de comprobación de preparación de responsabilidad para Microsoft 365

1. Introducción

Esta lista de comprobación de preparación de responsabilidad ofrece una forma cómoda de acceso a información que tal vez necesite para cumplir el RGPD al usar Microsoft Office 365.

Puede administrar los elementos de esta lista de comprobación con el Administrador de cumplimiento haciendo referencia al identificador de control y el título del control en Controles administrados de cliente en el icono RGPD.

Además, los elementos de esta lista de comprobación en 5. Protección de datos y seguridad aportan referencias a los controles que se muestran en Controles administrados de Microsoft en el icono RGPD del Administrador de cumplimiento. Revise los detalles de implementación de Microsoft de estos controles para obtener una explicación adicional sobre el enfoque de Microsoft para cumplir las consideraciones para el cliente en el elemento de lista de comprobación.

La lista de comprobación y el Administrador de cumplimiento se organizan con los títulos y números de referencia (entre paréntesis para cada tema de la lista de comprobación) de un conjunto de controles de seguridad y privacidad para los encargados del tratamiento de datos personales, extraído de:

  • ISO/IEC 27701 para las técnicas y requisitos en la gestión de la privacidad.
  • ISO/IEC 27001 para los requisitos de técnicas de seguridad.

Esta estructura de control también se usa para organizar la presentación de los controles internos que Microsoft Office 365 implementa para cumplir el RGPD, que pueden descargarse desde el Centro de confianza del servicio.

2. Condiciones de recopilación y procesamiento

Categoría Consideración para el cliente Documentación de Microsoft complementaria Artículos del RGPD
Establecer cuándo se debe obtener consentimiento (7.2.3) El cliente debe conocer los requisitos legales o reglamentarios relativos a la obtención del consentimiento de los usuarios antes de procesar sus datos personales (cuándo es necesario, si el tipo de procesamiento no está contemplado en los requisitos, etc.), así como el modo en que dicho consentimiento se obtiene. Office 365 no proporciona soporte directo para la obtención del consentimiento del usuario. (6)(1)(a), (8)(1), (8)(2)
*Identificar y documentar el propósito (7.2.1) _ El cliente debe documentar con qué propósito se tratan los datos personales. Descripción del tratamiento que Microsoft lleva a cabo (y los propósitos de dicho tratamiento) que puede incluirse en la documentación de responsabilidad.
- Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD* [1]
(5)(1)(b), (32)(4)
*Identificar el fundamento legal (7.2.2) _ El cliente debe conocer cualquier requisito relacionado con el fundamento legal del tratamiento, como, por ejemplo, si se debe dar consentimiento en primer lugar. Descripción del tratamiento de datos personales que realizan los servicios Microsoft para incluirla en la documentación de responsabilidad.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes*[10]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
Establecer cuándo se debe obtener consentimiento (7.2.3) El cliente debe conocer los requisitos legales o reglamentarios relativos a la obtención del consentimiento de los usuarios antes de procesar sus datos personales (cuándo es necesario, si el tipo de procesamiento no está contemplado en los requisitos, etc.), así como el modo en que dicho consentimiento se obtiene. Office 365 no proporciona soporte directo para la obtención del consentimiento del usuario. (6)(1)(a), (8)(1), (8)(2)
Obtener y registrar el consentimiento (7.2.4) En los casos en los que es necesario obtener el consentimiento, el cliente debe obtenerlo del modo adecuado. Deberá conocer también los requisitos relativos a cómo se debe presentar y obtener una solicitud de consentimiento. Office 365 no proporciona soporte directo para la obtención del consentimiento del usuario. (7)(1), (7)(2), (9)(2)(a)
*Evaluación del impacto en la privacidad (7.2.5) _ El cliente debe conocer los requisitos para cumplimentar evaluaciones del impacto en la privacidad (cuándo deben realizarse, las categorías de datos que pueden necesitar una, el tiempo necesario para completar una evaluación, etc.). Modo en que los servicios Microsoft establecen cuándo es necesario realizar una evaluación del impacto en la protección de datos y una información general sobre el programa de evaluaciones del impacto en la protección de datos de Microsoft, incluida la participación del responsable de la protección de datos, que se facilita en la página de evaluaciones del impacto en la protección de datos (DPIA) del Portal de confianza de servicios. Para obtener soporte relativo a sus DPIA, vea:
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes* [10]
(35)
*Contratos para encargados de DCP (7.2.6) _ El cliente debe asegurarse de que, en sus contratos con los encargados, se contemplen requisitos que ayuden con cualquier obligación legal o reglamentaria correspondiente relativa al tratamiento y protección de datos personales. Contratos de Microsoft que requieren que le ayudemos con sus obligaciones derivadas del RGPD, incluido el cumplimiento de los derechos del interesado.
- Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD* [1]
(5)(2), (28)(3)(e), (28)(9)
*Registros relacionados con el tratamiento de DCP (7.2.7) _ El cliente debe mantener todos los registros necesarios y obligatorios relacionados con el tratamiento de datos personales (es decir, finalidad, medidas de seguridad, etc.). En los casos en los que estos registros los deba facilitar un subencargado, el cliente debe asegurarse de que puede obtenerlos. Las herramientas que los servicios Microsoft ofrecen para ayudarle a mantener los registros necesarios demuestran el cumplimiento y la compatibilidad con la responsabilidad derivada del RGPD.
- Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365* [16]
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. Derechos de los titulares de los datos

Categoría Consideración para el cliente Documentación de Microsoft complementaria Artículos del RGPD
*Estipular los derechos de las entidades de seguridad de DCP y permitir que se ejerzan (7.3.1) _ El cliente debe conocer los requisitos relativos a los derechos de los individuos en lo concerniente al procesamiento de sus datos personales. Estos derechos pueden incluir cuestiones como el acceso, la corrección y la eliminación de dichos datos. Si el cliente usa un sistema de terceros, deberá determinar qué partes de ese sistema (de haberlas) ofrecen herramientas que permitan a los individuos ejercer sus derechos (por ejemplo, acceder a sus datos). Si el sistema ofrece estas funciones, el cliente deberá usarlas según corresponda. Funcionalidad que Microsoft facilita para cumplir los derechos del interesado.
- Solicitudes del interesado de Office 365 para el RGPD [8]
- Declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 de Microsoft Office 365* [12] ver ISO, IEC 27018, 2014 control A.1.1
(12)(2)
*Determinar la información relativa a las entidades de seguridad de DCP (interesados) (7.3.2) _ El cliente debe comprender los requisitos de los tipos de información sobre el tratamiento de datos personales que se pueda proporcionar a la persona. Esto puede incluir elementos como:
- Detalles de contacto sobre el responsable o su representante;
- información sobre el procesamiento (fines, transferencia internacional y seguridad relacionada, período de retención, etc.);
- información sobre cómo la entidad de seguridad puede tener acceso a sus datos personales o modificarlos; solicitar la supresión o restricción del tratamiento; recibir una copia de sus datos personales y portabilidad de los datos personales
- cómo y desde dónde se obtienen los datos personales (si no se obtuvieron directamente de la entidad de seguridad)
- información sobre el derecho a presentar una reclamación y a quién;
- información sobre las correcciones a los datos personales;
- notificación de que la organización ya no está en condiciones de identificar al interesado (entidad de seguridad de DCP), en aquellos casos en los que el tratamiento ya no requiere la identificación del interesado;
- transferencias o divulgación de datos personales;
- la existencia de toma de decisiones automatizada basada únicamente en un tratamiento automatizado de los datos personales;
- información sobre la frecuencia con la que la información se actualiza y se proporciona al interesado (es decir, notificaciones "just-in-time", frecuencia definida por la organización, etc.)

Cuando el cliente usa sistemas de terceros o encargados de tratamiento, debe determinar qué parte de esta información (si corresponde) deben proporcionar ellos y asegurarse de que puede obtener la información necesaria de dichos terceros.

Información sobre los servicios Microsoft que puede incluir en los datos que proporcione a los interesados.
- Solicitudes del interesado de Office 365 para el RGPD* [8]
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10]
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
*Facilitar información a las entidades de seguridad de DCP (7.3.3) _ El cliente debe cumplir cualquier requisito relativo a cómo, cuándo y de qué manera se va a facilitar la información necesaria a un individuo en relación con el tratamiento de sus datos personales. En los casos donde sea un tercero quien proporcione la información necesaria, el cliente debe asegurarse de que lo hace según lo dispuesto en el RGPD. Información basada en un modelo sobre los servicios Microsoft que puede incluir en los datos que facilite a los interesados.
- Solicitudes del interesado de Office 365 para el RGPD* [8]
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10]
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
*Facilitar un mecanismo para modificar o retirar el consentimiento (7.3.4) _ El cliente debe conocer los requisitos para informar a los usuarios sobre su derecho de acceso, corrección o eliminación de los datos personales, así como para facilitar un mecanismo que les permita hacerlo. Si se usa un sistema de terceros y entre sus funcionalidades se encuentra este mecanismo, el cliente deberá usar dicha funcionalidad como corresponda. Información sobre la funcionalidad de servicios Microsoft que se puede usar al definir la información que se facilita a los interesados cuando se solicita consentimiento.
- Solicitudes del interesado de Office 365 para el RGPD* [8]
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
*Facilitar un mecanismo para oponerse al tratamiento (7.3.5) _ El cliente debe conocer los requisitos relativos a los derechos de los interesados. Si un individuo tiene derecho a oponerse al tratamiento de sus datos, el cliente deberá informarle al respecto y disponer del método pertinente para dejar constancia de dicha oposición. Información sobre servicios Microsoft relativos a los objetos que se van a tratar que puede incluir en los datos que facilita a los interesados.
- Solicitudes del interesado de Office 365 para el RGPD* [8] ver Paso 4: Restringir
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
*Compartir el ejercicio de los derechos de las entidades de seguridad de DCP (7.3.6) _ El cliente debe conocer los requisitos para informar a los terceros con los que se compartan datos personales de los casos de modificación de datos a raíz del ejercicio de derechos de un individuo (por ejemplo, porque solicite borrar o modificar datos, etc.). Información sobre la funcionalidad de servicios Microsoft que permite encontrar los datos personales que se han compartido con terceros.
- Solicitudes del interesado de Office 365 para el RGPD* [8]
(19)
*Corrección o supresión (7.3.7) _ El cliente debe conocer los requisitos para informar a los usuarios sobre su derecho de acceso, corrección o eliminación de los datos personales, así como para facilitar un mecanismo que les permita hacerlo. Si se usa un sistema de terceros y entre sus funcionalidades se encuentra este mecanismo, el cliente deberá usar dicha funcionalidad como corresponda. Información basada en un modelo sobre los servicios Microsoft en relación con su capacidad de acceso, corrección o borrado de datos personales que puede incluir en los datos que facilita a los interesados.
- Solicitudes del interesado de Office 365 para el RGPD* [8] ver Paso 5: Eliminar
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2)
*Facilitar una copia de la DCP tratada (7.3.8) _ El cliente debe conocer los requisitos para proveer al individuo de una copia de los datos personales tratados. Puede tratarse de requisitos relativos al formato de la copia (es decir, que sea legible para el equipo), cómo transferir la copia, etc. Si el cliente usa un sistema de terceros que ya incluya la funcionalidad para facilitar copias, deberá usar esta funcionalidad como corresponda. Información sobre las capacidades de servicios de Microsoft que le permiten obtener una copia de los datos personales que se pueden incluir en los datos que proporcione a los titulares de los datos.
- Solicitudes del interesado de Office 365 para el RGPD* [8] ver Paso 6: Exportar
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
*Administración de solicitudes (7.3.9) _ El cliente debe conocer los requisitos para aceptar y responder a solicitudes legítimas de los individuos relacionadas con el tratamiento de sus datos personales. Si el cliente usa un sistema de terceros, deberá estar al tanto de si dicho sistema ofrece capacidades para administrar este tipo de solicitudes. Si es así, deberá usar tales mecanismos para administrar las solicitudes como proceda. Información sobre las capacidades de los servicios Microsoft que se pueden usar al definir la información que se facilita a los interesados cuando se administran solicitudes de los interesados.
- _Solicitudes del interesado de Office 365 para el RGPD* [8] El cliente debe conocer los requisitos relativos al procesamiento automatizado de datos personales y en qué aspectos se toman decisiones por medio de esa automatización. Esto puede incluir proporcionar información a un usuario individual sobre el procesamiento, oponerse a dicho procesamiento u obtener la intervención humana. Si estas características las ofrece un sistema de terceros, el cliente debe asegurarse de que dicho tercero proporciona la información o el soporte necesarios.

Información sobre la funcionalidad de servicios Microsoft que admita la toma de decisiones automatizada que se puede usar en la documentación de responsabilidad, así como información basada en un modelo de los interesados sobre esa funcionalidad.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10]

(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. Privacidad por diseño y de forma predeterminada

Categoría Consideración para el cliente Documentación de Microsoft complementaria Aborda los artículos del RGPD
*Limitar la recopilación (7.4.1) _ El cliente debe comprender los requisitos sobre los límites establecidos en torno a la recopilación de los datos personales (por ejemplo, que la recopilación deba limitarse a lo estrictamente necesario para una finalidad en concreto). Descripción de los datos recopilados por los servicios Microsoft.
- Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD* [1]
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10]
(5)(1)(b), (5)(1)(c)
*Limitar el procesamiento (7.4.2) El cliente es responsable de limitar el tratamiento de datos personales de modo que quede restringido a lo que sea adecuado para una finalidad en concreto. Descripción de los datos recopilados por los servicios Microsoft.
- Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD* [1]
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes[10]
(25)(2)
Definir y documentar los objetivos de minimización y desidentificación de DCP (7.4.3) El cliente debe conocer los requisitos sobre la desidentificación de datos personales, lo que puede englobar cuándo debe usarse, el alcance de esa desidentificación y los casos en los que no se puede usar. Microsoft hace uso de la desidentificación y seudonimización de manera interna y cuando proceda para ofrecer más medidas de seguridad de la privacidad de datos personales. (5)(1)(c)
Cumplir con los niveles de identificación (7.4.4) El cliente debe usar y cumplir con los métodos y objetivos de desidentificación en vigor en su organización. Microsoft hace uso de la desidentificación y seudonimización de manera interna y cuando proceda para ofrecer más medidas de seguridad de la privacidad de datos personales. (5)(1)(c)
*Desidentificación y eliminación de DCP (7.4.5) _ El cliente debe conocer los requisitos sobre la retención de datos personales más allá de su uso con una finalidad en concreto. Si el sistema facilita las herramientas necesarias para ello, el cliente deberá usarlas para eliminar o borrar los datos como corresponda. Funcionalidad facilitada por Servicios en la nube de Microsoft para cumplir las directivas de retención de datos.
- Solicitudes del interesado de Office 365 para el RGPD [8]. Ver Paso 5: Eliminar*
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
Archivos temporales (7.4.6) El cliente debe tener conocimiento de los archivos temporales que el sistema puede crear y que podrían suponer un incumplimiento de las directivas de tratamiento de datos personales (p. ej., porque se retengan datos personales en un archivo temporal más tiempo del necesario o permitido). En caso de que el sistema facilite herramientas para la eliminación o protección de archivos temporales, el cliente deberá usarlas para satisfacer estos requisitos. Descripción de la funcionalidad facilitada por el servicio para identificar datos personales y comprobar que cumplen con las directivas de archivos temporales.
Solicitudes del interesado de Office 365 para el RGPD [8], ver Paso 1: Detección
(5)(1)(c)
*Retención (7.4.7) El cliente debe decidir durante cuánto tiempo se deben conservar los datos personales, teniendo en cuenta la finalidad en concreto. Información sobre la retención de datos personales por parte de los servicios Microsoft que se puede incluir en la documentación facilitada a los interesados.
- Términos de Microsoft Online Services, Términos de la protección de datos, ver Seguridad de datos, Retención* [1]
(13)(2)(a), (14)(2)(a)
*Eliminación (7.4.8) El cliente debe usar cualquier mecanismo de eliminación existente en el sistema para eliminar datos personales. Funcionalidad facilitada por Servicios en la nube de Microsoft para cumplir las directivas de eliminación de datos.
- Solicitudes del interesado de Office 365 para el RGPD* [8] ver Paso 5: Eliminar
(5)(1)(f)
*Procedimientos de recopilación (7.4.9) _ El cliente debe conocer los requisitos sobre la precisión de los datos personales (por ejemplo, ser precisos a la hora de recopilarlos, mantenerlos actualizados, etc.) y usar cualquier mecanismo existente en ese sistema para acometer esas tareas. Modo en que los servicios Microsoft contemplan la precisión de los datos personales y la funcionalidad que dichos servicios facilitan para cumplir la directiva de precisión de datos.
- Solicitudes del interesado de Office 365 para el RGPD* [8] ver Paso 3: Rectificar
(5)(1)(d)
*Controles de transmisión (7.4.10) El cliente debe conocer los requisitos para proteger la transmisión de datos personales, como, por ejemplo, quién tiene acceso a los mecanismos de transmisión, los registros de transmisión, etc. Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes* [10]
(15)(2), (30)(1)(e), (5)(1)(f)
*Identificar los fundamentos de la transferencia de DCP (7.5.1) _ El cliente debe conocer los requisitos para transferir datos personales (PII) a otra ubicación geográfica, así como documentar las medidas puestas en marcha para satisfacer tales requisitos. Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes* [10]
Artículos (44), (45), (46), (47), (48) y (49)
*Países y organizaciones a los que se pueden transferir DCP (7.5.2) El cliente debe conocer (y tener la capacidad de facilitar al individuo) los países a los que se van a transferir datos personales. Cuando sea un tercero o encargado del tratamiento el que realice transferencia, el cliente deberá obtener tal información de dicho encargado del tratamiento. Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes* [10]
(30)(1)(e)
*Registros de transferencias de DCP (datos personales) (7.5.3) El cliente debe mantener todos los registros necesarios relacionados con las transferencias de datos personales. Cuando un tercero o encargado de tratamiento realiza la transferencia, el cliente debe asegurarse de que mantiene los registros correspondientes y obtenerlos según sea necesario. Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes* [10]
(30)(1)(e)
*Registros de divulgación de DCP a terceros (7.5.4) El cliente debe conocer los requisitos para llevar un registro de a quién se han revelado datos personales. Esto abarca la revelación de datos por requerimiento legal, etc. Cuando sea un tercero/encargado del tratamiento el que revele los datos, el cliente deberá asegurarse de que conserva también los registros correspondientes y obtenerlos según proceda. Documentación sobre las categorías de destinatarios de divulgaciones de datos personales, incluidos los registros de divulgación disponibles.
- Quién puede acceder a sus datos y en qué condiciones* [6]
(30)(1)(d)
*Cοrresponsable (7.5.5) El cliente debe decidir si se trata de un responsable asociado a cualquier otra organización y, como tal, documentar y asignar las obligaciones convenientemente. Documentación de los servicios Microsoft que son responsables de información personal, incluida la información basada en un modelo que puede incluirse en la documentación para los interesados.
- Términos de Microsoft Online Services, términos de la protección de datos, vea la sección sobre el tratamiento de datos personales; RGPD* [1]

5. Protección y seguridad de los datos

Categoría Consideración para el cliente Documentación de Microsoft complementaria Aborda los artículos del RGPD
*Comprender la organización y su contexto (5.2.1) _ Los clientes deben definir su rol en el procesamiento de datos personales (por ejemplo, responsable, encargado o corresponsable) para identificar los requisitos adecuados (reglamentarios, etc.) para el procesamiento de los datos personales. Forma en la que Microsoft considera cada servicio como encargado o responsable al tratar datos personales.
- Términos de Microsoft Online Services, términos de la protección de datos, vea Tratamiento de datos personales; RGPD, Roles de responsable y encargado y obligaciones* [1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
*Comprender las necesidades y expectativas de las partes interesadas (5.2.2) Los clientes deben distinguir las partes que desempeñan un papel o tienen interés en el tratamiento de datos personales (por ejemplo, reguladores, auditores, interesados, encargados del tratamiento de datos personales contratados, etc.), así como conocer los requisitos para que cada parte interactúe cuando proceda. Modo en que Microsoft incorpora las vistas de todas las partes interesadas en consideración de los riesgos que entraña el tratamiento de datos personales.
- Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes* [10]
- Manual ISMS de Office 365 [14] ver 4.2 CONOCER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS
- Conocer las necesidades y expectativas de las partes interesadas (5.2.2) en el Administrador de cumplimiento
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
*Establecer el ámbito del sistema de administración de seguridad de la información (5.2.3, 5.2.4) Como parte de cualquier programa general de privacidad o seguridad que un cliente puede haber puesto en marcha, se debe contemplar en ellos el tratamiento de datos personales y los requisitos relativos a él. Modo en que los servicios Microsoft incluyen el tratamiento de datos personales en los programas de privacidad y administración de seguridad de la información.
- Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013* [12] ver A.19
- Informe de auditoría SOC 2 Type 2 [11]
- Office 365, manual de sistemas de administración de la seguridad de la información [14] ver 4. Contexto de la organización
- 5.2.3 Establecer el ámbito del sistema de administración de seguridad de la información en el Administrador de cumplimiento
- 5.2.4 Sistema de administración de seguridad de la información en el Administrador de cumplimiento
(32)(2)
*Planeación (5.3) Los clientes deben tener en cuenta el tratamiento de los datos personales como parte de cualquier evaluación de riesgos que lleven a cabo, así como aplicar los controles que consideren necesarios para mitigar los riesgos relacionados con los datos personales que controlan. Modo en que los servicios Microsoft consideran los riesgos específicos del tratamiento de datos personales como parte del programa general de privacidad y administración de seguridad.
- Office 365, manual de sistemas de administración de la seguridad de la información* [14] ver 5.2 Directiva
- 5.3 Planeación en el Administrador de cumplimiento
(32)(1)(b), (32)(2)
*Directivas de seguridad de la información (6.2) El cliente debe ampliar cualquier directiva de seguridad de la información existente para que contemple la protección de datos personales, incluidas las directivas necesarias para respetar las leyes vigentes. Directivas de Microsoft sobre seguridad de la información y medidas específicas para la protección de información personal.
- Microsoft Office 365 (All-Up), declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 * [12] ver A.19
- Informe de auditoría SOC 2 Type 2 [11]
- 6.2 Directivas de seguridad de la información en el Administrador de cumplimiento
24(2)
*Organización de seguridad de la información Consideración para el cliente (6.3) _ El cliente debe definir (dentro de su organización) las responsabilidades de seguridad y protección de datos personales. Esto conlleva el establecimiento de roles específicos para controlar las cuestiones relativas a la privacidad, incluido designar un responsable de protección de datos. Se deberá proporcionar la formación y asistencia de administración pertinentes que permitan desarrollar estos roles. Información general sobre el rol de responsable de la protección de datos de Microsoft, la naturaleza de sus tareas, la estructura jerárquica e información de contacto.
- Responsable de la protección de datos de Microsoft* [18]
- Manual de sistemas de administración de la seguridad de la información de Office 365 l [14] ver 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES DE LA ORGANIZATIONAL
- 6.3 Organización de seguridad de la información en Administrador de cumplimiento
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
*Seguridad de recursos humanos (6.4) _ El cliente debe definir y asignar la responsabilidad que facilite el aprendizaje pertinente sobre protección de datos personales. Información general sobre el rol de responsable de la protección de datos de Microsoft, la naturaleza de sus tareas, la estructura jerárquica e información de contacto.
- Responsable de la protección de datos de Microsoft* [18]
- Manual de sistemas de administración de la seguridad de la información de Office 365 l [14] ver 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES DE LA ORGANIZATIONAL
- 6.4 Seguridad de recursos humanos en el Administrador de cumplimiento
(39)(1)(b)
*Clasificación de la información (6.5.1) El cliente debe considerar los datos personales expresamente como parte de un esquema de clasificación de datos. Funcionalidad de Office 365 que admite la clasificación de datos personales.
- Protección de la información de Office 365 para GDPR* [5] ver Diseño de un esquema de clasificación de datos personales
- 6.5.1 Clasificación de la información en el Administrador de cumplimiento
(39)(1)(b)
*Administración de medios extraíbles (6.5.2) _ El cliente debe establecer directivas internas que rijan el uso de un medio extraíble en relación con la protección de datos personales (por ejemplo, dispositivos cifrados). Como los servicios Microsoft protegen la seguridad de la información personal en un medio extraíble.
- Plan de seguridad de sistema FedRAMP de nivel moderado* [3], ver 13.10 Protección de medios (MP)
- Administración de medios extraíbles en el Administrador de cumplimiento
(32)(1)(a), (5)(1)(f)
Transferencia de medios físicos (6.5.3) El cliente debe establecer directivas internas que rijan la protección de los datos personales al transferir medios físicos (por ejemplo, cifrado). Modo en que los servicios Microsoft protegen los datos personales durante la transferencia de cualquier medio físico.
- Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 13.10 Protección de medios (MP)
- 6.5.3 Transferencia de medios físicos en el Administrador de cumplimiento
(32)(1)(a), (5)(1)(f)
Administración del acceso de usuario (6.6.1) El cliente debe tener conocimiento de las distintas responsabilidades que tiene para el control de acceso dentro del servicio que esté usando y administrar esas responsabilidades correctamente a través de las herramientas disponibles. Herramientas que ofrecen los servicios Microsoft para ayudarle a exigir el control de acceso.
- Office 365, documentación de seguridad [2], ver Proteger el acceso a datos y servicios de Office 365
- 6.6.1 Administración del acceso de usuario en el Administrador de cumplimiento
(5)(1)(f)
Registro de usuarios y anulación de registros (6.6.2) El cliente debe administrar el registro de usuarios, así como la eliminación de registros, en el servicio que use y con las herramientas que tenga a su disposición. Herramientas que ofrecen los servicios Microsoft para ayudarle a exigir el control de acceso.
- Office 365, documentación de seguridad [2], ver Proteger el acceso a datos y servicios de Office 365
- 6.6.2 Registro de usuarios y anulación de registros en el Administrador de cumplimiento
(5)(1)(f)
Aprovisionamiento del acceso de usuario (6.6.3) El cliente debe administrar los perfiles de usuario, sobre todo en lo tocante al acceso autorizado a datos personales, en el servicio que use y con las herramientas que haya disponibles. Modo en que los servicios Microsoft permiten el control de acceso a los datos personales, esto es, identificadores de usuario, roles, acceso a las aplicaciones y registro y anulación de registros de usuarios.
- Office 365, documentación de seguridad [2], ver Proteger el acceso a datos y servicios de Office 365
- Usar restricciones de espacio empresarial para administrar el acceso a aplicaciones en la nube de SaaS [15]
- Aprovisionamiento de acceso de usuario en el Administrador de cumplimiento
(5)(1)(f)
Administración del acceso con privilegios (6.6.4) El cliente debe administrar los identificadores de usuario de forma que permita llevar un seguimiento del acceso (sobre todo a los datos personales) en el servicio que use y con las herramientas que haya disponibles. Modo en que los servicios Microsoft permiten el control de acceso a los datos personales, esto es, identificadores de usuario, roles y registro y anulación de registros de usuarios.
- Office 365, documentación de seguridad 2, ver Proteger el acceso a datos y servicios de Office 365
- Usar restricciones de espacio empresarial para administrar el acceso a aplicaciones en la nube de SaaS [15]
-6.6.4 Administración de acceso con privilegios en el Administrador de cumplimiento
(5)(1)(f)
Asegurar los procedimientos de inicio de sesión (6.6.5) El cliente debe emplear los mecanismos facilitados en el servicio para garantizar la funcionalidad de inicio de sesión seguro para sus usuarios cuando proceda. Modo en que los servicios Microsoft contemplan las directivas de control de acceso internas relacionadas con los datos personales.
- Quién puede tener acceso a los datos y en qué condiciones [6]
- 6.6.5 Procedimientos de acceso seguro en el Administrador de cumplimiento
(5)(1)(f)
*Criptografía (6.7) _ El cliente debe decidir qué datos se deben cifrar y si el servicio que usa ofrece esta funcionalidad. El cliente debe usar el cifrado según sea necesario y con las herramientas que tenga a su disposición. Modo en que los servicios Microsoft aceptan el cifrado y la seudonimización para reducir el riesgo del tratamiento de datos personales.
- Planes de seguridad de sistema (SSP) FedRAMP de nivel moderado, ver Cosmos* pp29
- 6.7 Criptografía en el Administrador de cumplimiento
(32)(1)(a)
Eliminación segura o reutilización de equipos (6.8.1) Si el cliente usa servicios de informática en la nube (PaaS, SaaS, IaaS), debe tener conocimiento de cómo el proveedor de nube garantiza que los datos personales se van a eliminar del espacio de almacenamiento antes de que dicho espacio se asigne a otro cliente. Modo en que los servicios Microsoft garantizan que los datos personales se eliminan de un equipo de almacenamiento antes de reutilizarlo o transferirlo a otra persona.
- Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 13.10 Protección de medios (MP)
- 6.8.1 Eliminación segura o reutilización de equipos en el Administrador de cumplimiento
(5)(1)(f)
Directiva de pantalla y escritorio despejados (6.8.2) El cliente debe tener en cuenta los riesgos relacionados con el material impreso que revele datos personales y restringir en potencia la creación de dicho material. En caso de que el sistema que use tenga capacidades para restringir esto (por ejemplo, porque cuente con opciones de configuración que impidan imprimir o copiar y pegar información confidencial), el cliente deberá sopesar la posibilidad de usarlas. Qué implementa Microsoft para administrar copias impresas.
- Microsoft mantiene estos controles internamente, vea Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12] A.10.2, A.10.7 y A.4.1
- 6.8.2 Directiva de pantalla y escritorio despejados en el Administrador de cumplimiento
(5)(1)(f)
Separación de los entornos operativos, de desarrollo y de pruebas (6.9.1) El cliente debe considerar las implicaciones que conlleva el uso de datos personales en los entornos de desarrollo y pruebas de la organización. Modo en que Microsoft garantiza que los datos personales están protegidos en los entornos de desarrollo y pruebas.
- Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12], ver A.12.1.4
- 6.9.1 Separación de los entornos operativos, de desarrollo y de pruebas en el Administrador de cumplimiento
5(1)(f)
Copia de seguridad de la información (6.9.2) El cliente debe asegurarse de usar la funcionalidad que el sistema facilita para crear redundancias de los datos y probarlas según sea necesario. Modo en que Microsoft garantiza la disponibilidad de los datos entre los que pueda haber datos personales, modo en que se garantiza la precisión de los datos restaurados, y las herramientas y procedimientos que los servicios Microsoft facilitan para hacer copias de seguridad de los datos y restaurarlos.
- Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 10.9 Disponibilidad
- 6.9.2 Copia de seguridad de la información en el Administrador de cumplimiento
(32)(1)(c), (5)(1)(f)
Registro de eventos (6.9.3) El cliente debe comprender las funcionalidades de registro que proporciona el sistema y usarlas para garantizar que se puedan registrar las acciones relativas a los datos personales que se consideren necesarias. Datos que el servicio Microsoft registra de forma automática, como las actividades de usuario, las excepciones, los errores y los eventos de seguridad de información, así como el modo en que se puede tener acceso a esos registros para su uso como parte del mantenimiento de registros.
- Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16]
- 6.9.3 Registro de eventos en el Administrador de cumplimiento
(5)(1)(f)
Protección de la información de registros (6.9.4) El cliente debe tener en cuenta los requisitos de protección de la información de los registros que pueda contener datos personales o registros relacionados con el procesamiento de los datos personales. Si el sistema que se usa facilita funcionalidades de protección de registros, el cliente deberá usarlas cuando corresponda. Modo en que Microsoft protege los registros que pueden contener datos personales.
- Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16]
- 6.9.4 Protección de información de registros en el Administrador de cumplimiento
(5)(1)(f)
Directivas y procedimientos de transferencia de información (6.10.1) El cliente debe disponer de los procedimientos pertinentes para los casos en los que se puedan transferir datos personales en un medio físico (como una unidad de disco duro que se traslada de un servidor o recurso a otro). Esto puede abarcar registros, autorizaciones y seguimiento. Cuando sea un tercero u otro encargado del tratamiento el que transfiera el medio físico, el cliente deberá asegurarse de que dicha organización pone en marcha los procedimientos que sean necesarios para garantizar la seguridad de los datos personales. Modo en que los servicios Microsoft transfieren medios físicos que puedan contener datos personales (incluidas las circunstancias en las que podría producirse una transferencia) y las medidas de protección tomadas para proteger los datos.
Plan de seguridad de sistema FedRAMP de nivel moderado [3], ver 13.10 Protección de medios (MP)
- 6.10.1 Directivas y procedimientos de transferencia de información en el Administrador de cumplimiento
(5)(1)(f)
Acuerdos de confidencialidad (6.10.2) El cliente debe decidir la necesidad de tener acuerdos de confidencialidad (o equivalente) con los usuarios individuales que tienen acceso a los datos personales o responsabilidades al respecto. Modo en que los servicios Microsoft garantizan que los usuarios individuales con acceso autorizado a los datos personales se han comprometido a no revelarlos.
Informe de auditoría de SOC 2 Type 2 [11], ver CC1.4 pp33
- 6.10.2 Acuerdos de confidencialidad en el Administrador de cumplimiento
(5)(1)(f), (28)(3)(b), (38)(5)
*Proteger los servicios de aplicaciones en redes públicas (6.11.1) El cliente debe conocer los requisitos de cifrado de los datos personales, especialmente cuando se envían a través de redes públicas. Cuando el sistema facilita mecanismos para cifrar datos, el cliente deberá usarlos cuando proceda. Descripción de las medidas que los servicios Microsoft toman para proteger los datos en tránsito (incluido el cifrado de los datos) y cómo estos servicios protegen los datos que pueden contener datos personales cuando pasan a través de redes públicas de datos (incluida cualquier medida de cifrado).
- Cifrado en Microsoft Cloud [17], ver Cifrado de datos de clientes en tránsito*
- 6.11.1 Proteger los servicios de aplicaciones en redes públicas en el Administrador de cumplimiento
(5)(1)(f), (32)(1)(a)
*Proteger los principios de ingeniería del sistema (6.11.2) _ El cliente debe saber cómo están diseñados los sistemas a la hora de considerar la protección de datos personales. Si el cliente usa un sistema de ingeniería de terceros, será su responsabilidad asegurarse de que estas protecciones se han tenido en cuenta. Modo en que los servicios Microsoft contemplan los principios de protección de datos personales como medida obligatoria según nuestros principios de diseño e ingeniería seguros.
- Informe de auditoría de SOC 2 Type 2 [11], ver Ciclo de vida del desarrollo de seguridad* pp23, CC7.1 pp45
- Proteger los principios de ingeniería del sistema en el Administrador de cumplimiento
(25)(1)
Relaciones con los proveedores (6.12) El cliente debe asegurarse de que en la información de carácter contractual o en cualquier otro tipo de acuerdo se abordan los requisitos de protección de datos personales y de seguridad de la información que sean responsabilidad de un tercero. En tales acuerdos se debe dejar constancia también de las instrucciones de procesamiento. Modo en que los servicios Microsoft abordan la protección de datos y la seguridad en nuestros contratos con los proveedores y cómo nos aseguramos de que esos contratos se cumplen de manera eficaz.
- Quién puede tener acceso a los datos y en qué condiciones [6]
- Contratos para subencargados: celebrar un contrato con Microsoft [7]
- 6.12 Relaciones con los proveedores en el Administrador de cumplimiento
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)
Administración de incidentes de seguridad de la información y mejoras (6.13.1) El cliente debe disponer de procesos para distinguir cuándo se ha producido una vulneración de datos personales. Modo en que los servicios Microsoft determinan si un incidente de seguridad es una vulneración de datos personales y cómo comunicamos tal vulneración al usuario.
- Office 365 y notificación de incumplimiento según el RGPD [9]
- Administración de incidentes de seguridad de la información y mejoras (6.13.1) en el Administrador de cumplimiento
(33)(2)
Responsabilidades y procedimientos (durante los incidentes de seguridad de la información) (6.13.2) El cliente debe conocer y documentar sus responsabilidades durante un incidente de seguridad o de infracción de datos donde hay datos personales involucrados. Entre estas responsabilidades está informar a las partes correspondientes y establecer comunicaciones con los encargados del tratamiento de datos u otros terceros, así como las responsabilidades relevantes de la organización del cliente. Modo en que hay que informar a los servicios Microsoft cuando se detecta un incidente de seguridad o una vulneración de datos personales.
- Office 365 y notificación de incumplimiento según el RGPD [9]
- 6.13.2 Responsabilidades y procedimientos en el Administrador de cumplimiento
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
Respuesta a incidentes de seguridad de la información (6.13.3) El cliente debe disponer de procesos para distinguir cuándo se ha producido una vulneración de datos personales. Descripción de la información que los servicios Microsoft facilitan para ayudarle a decidir si se ha producido una violación de datos personales.
- Office 365 y notificación de incumplimiento según el RGPD [9]
- 6.13.3 Respuesta a incidentes de seguridad de la información en el Administrador de cumplimiento
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
*Protección de los registros (6.15.1) El cliente debe conocer los requisitos de los registros relacionados con el tratamiento de datos personales que deben mantenerse. Modo en que los servicios Microsoft almacenan los registros relacionados con el tratamiento de datos personales.
- Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 [16]
- Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013 [12], ver A.18.1.3
- Office 365, manual de sistemas de administración de la seguridad de la información [14], ver 9 Evaluación del rendimiento*
(5)(2), (24)(2)
*Revisión independiente de seguridad de la información (6.15.2) _ El cliente debe conocer los requisitos de las evaluaciones de seguridad del procesamiento de datos personales. Esto puede englobar auditorías internas o externas u otras medidas para evaluar la seguridad del procesamiento. Si el cliente depende de otra organización o tercero para realizar este procesamiento parcial o totalmente, deberá recopilar información sobre tales evaluaciones realizadas por ellos. Modo en que los servicios Microsoft prueban y evalúan la eficacia de las medidas técnicas y organizativas de cara a garantizar la seguridad del procesamiento, incluida cualquier auditoría realizada por terceros.
- Términos de Microsoft Online Services, términos de la protección de datos, ver Seguridad de datos, Auditoría de cumplimiento [1]
- Office 365, manual de sistemas de administración de la seguridad de la información [14], ver 9 Evaluación del rendimiento*
- 6.15.2 Revisión independiente de la información en el Administrador de cumplimiento
(32)(1)(d), (32)(2)
*Revisión de cumplimiento técnico (6.15.3) El cliente debe conocer los requisitos para probar y evaluar la seguridad del tratamiento de datos personales. Esto puede englobar pruebas de naturaleza técnica, como pruebas de penetración. Si el cliente usa un encargado del tratamiento o sistema de terceros, deberá conocer qué responsabilidades tienen para proteger y probar la seguridad (por ejemplo, administrar configuraciones para proteger los datos y, después, probar esas opciones de configuración). Cuando un tercero es responsable total o parcial de la seguridad del tratamiento, el cliente deberá tener conocimiento de las pruebas o evaluaciones que dicho tercero realiza para garantizar la seguridad del tratamiento. Modo en que servicios Microsoft se prueban en función de los riesgos identificados, lo que incluye las pruebas de terceros, así como los tipos de pruebas técnicas y los informes disponibles en las pruebas de seguridad.
- Términos de Microsoft Online Services, términos de la protección de datos, ver Seguridad de datos, Auditoría de cumplimiento [1]
- Para obtener una lista de certificaciones externas, vea las ofertas de Cumplimiento del Centro de confianza de Microsoft [13]*
- Para más información sobre las pruebas de penetración de las aplicaciones, vea Plan de seguridad de sistema (SSP) FedRAMP de nivel moderado [3], CA-8 Pruebas de penetración (M) (H) pp204
- 6.15.3 Revisión de cumplimiento técnico en el Administrador
(32)(1)(d), (32)(2)
Id. Descripción/Vínculo
1 Términos de Online Services
2 Documentación de seguridad de Office 365
3 Plan de seguridad de sistema (SSP) FedRAMP de nivel moderado
4 Directiva de seguridad de Microsoft Cloud
5 Information Protection de Office 365 para RGPD
6 Quién puede tener acceso a sus datos y en qué condiciones
7 Contratos de procesadores secundarios: celebrar un contrato con Microsoft
8 Solicitudes del interesado de Office 365 para el RGPD
9 Office 365 y notificación de incumplimiento según el RGPD
10 Información clave de Office 365 sobre las evaluaciones del impacto en la protección de datos de clientes
11 Informe de auditoría SOC 2 Type 2
12 Microsoft Office 365, declaración de aplicabilidad de sistemas de administración de la seguridad de la información ISO/IEC 27001:2013
13 Ofertas de cumplimiento del Centro de confianza de Microsoft
14 Office 365, manual de sistemas de administración de la seguridad de la información
15 Usar restricciones de espacio empresarial para administrar el acceso a aplicaciones en la nube de SaaS
16 Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365
17 Cifrado en Microsoft Cloud
18 Responsable de la protección de datos de Microsoft

Más información