Plan de acción de RGPD de Microsoft 365: principales prioridades de los primeros 30 días, 90 días y el periodo posterior

Este artículo comprende un plan de acción prioritaria que se puede aplicar mientras se trabaja para cumplir con los requisitos del Reglamento General de Protección de Datos (GDPR). Este plan de acción fue desarrollado en colaboración con Protiviti, un socio de Microsoft especializado en el cumplimiento de las normativas.

El RGPD ha introducido nuevas normas a empresas, organismos gubernamentales, organizaciones sin ánimo de lucro y otras organizaciones que ofrezcan bienes y servicios a los ciudadanos de la Unión Europea (UE) o que recopilen y analicen datos de los residentes de la UE. El RGPD se aplica independientemente de donde esté ubicada su empresa.

Resultados del plan de acción

Estas recomendaciones se proporcionan en tres fases en un orden lógico con los siguientes resultados:

Fase Resultados
30 días Comprender los requisitos del RGPD y considerar colaborar con un Partner asesor de RGPD de Microsoft.
* Evalúe su preparación y obtenga recomendaciones para los pasos siguientes.
* Trabaje con un Partner asesor de RGPD de Microsoft para establecer directrices internas para responder a las solicitudes de asunto de datos (valoración detallada), realizar un análisis de faltas de cumplimiento del RGPD para su organización y establecer una guía de cumplimiento.

Empezar a descubrir los tipos de datos personales que almacena y dónde se encuentran para cumplir con la valoración detallada.
* Use la Búsqueda de contenido y eDiscovery en los centros de seguridad y cumplimiento para descubrir datos personales en toda la organización.
* Cuando trabaje con grandes cantidades de contenido, use eDiscovery avanzado, con tecnologías de aprendizaje automático, para realizar búsquedas de contenido más eficaces y precisas.
90 días Iniciar la implementación de requisitos de cumplimiento mediante las funciones de cumplimiento y de gobierno de datos de Microsoft 365.
* Evaluar y administrar los riesgos relacionados con el cumplimiento normativo al usar el Administrador de cumplimiento de Microsoft Compliance.
* Ayude a los usuarios a identificar y clasificar datos personales, tal como los define el RGPD.

Usar las funciones de seguridad de Microsoft 365 para evitar infracciones de datos e implementar la protección de datos personales.
* Proteja las cuentas de usuario final y de administrador.
* Protéjase contra código malicioso e implemente prevención y respuestas contra infracciones de datos.
* Use el registro de auditoría para supervisar en busca de actividad potencialmente malintencionada y habilitar el análisis detallado de infracciones de datos.
* Use directivas de Prevención de pérdida de datos (DLP) para identificar y proteger datos confidenciales.
* Evite los ataques más comunes como correos electrónicos de suplantación de identidad y documentos de Office que contienen vínculos malintencionados y datos adjuntos.
Más allá de 90 días Usar la protección de información y las herramientas de Gobierno de datos avanzado de Microsoft 365 para implementar programas de gobierno continuos para datos personales.
* Identifique automáticamente la información personal en los correos electrónicos y documentos
* Proteja los datos personales almacenados en dispositivos en toda la organización y asegúrese de que se usan dispositivos de empresa compatibles para acceder a los datos confidenciales.
* Asegúrese de que se almacena y se accede a la información personal confidencial según las directivas corporativas.
* Implemente directivas de retención de datos para garantizar que solo conserva datos personales durante el tiempo que sea necesario.

Supervisar el cumplimiento continuo de Microsoft 365 y otras aplicaciones en la nube. Considerar la posibilidad de cumplir los requisitos de residencia de datos para los datos personales de la UE.
* Supervise el uso de aplicaciones en la nube de su organización e implemente directivas de alertas avanzadas.
* Cumpla los requisitos de residencia de datos como una sola organización global.

30 días: logros rápidos y significativos

Estas tareas son rápidas y eficaces con un impacto mínimo en los usuarios.

Área Tareas
Comprender los requisitos del RGPD y considerar colaborar con un Partner asesor de RGPD de Microsoft. * Evalúe y administre los riesgos de cumplimiento con el Administrador de cumplimiento de Microsoft en el Centro de cumplimiento de Microsoft 365 para realizar una evaluación del RGPD en la organización.
* Colabore con su Partner asesor de RGPD de Microsoft para establecer directrices internas y responder a solicitudes del interesado (DSR) y exclusiones de DSR.
* Colabore con su partner asesor de RGPD de Microsoft para realizar un análisis de brechas de cumplimiento de RGPD para su organización y crear un plan de desarrollo que trace el camino hacia el cumplimiento del RGPD.
* Aprenda a usar el Panel de RGPD y la función Solicitud de interesado en el Centro de cumplimiento de Microsoft 365.
Empezar a descubrir los tipos de datos personales que almacena y dónde se encuentran para cumplir con la valoración detallada. * Use la Búsqueda de contenido y los casos de eDiscovery para buscar fácilmente en buzones, carpetas públicas, Grupos de Microsoft 365, Microsoft Teams, sitios de SharePoint Online, sitios de OneDrive para la Empresa y conversaciones de Skype Empresarial. Aprenda a usar los tipos de información confidencial para buscar datos personales de ciudadanos de la UE.
* Cuando trabaje con grandes cantidades de contenido, identifique los documentos que sean relevantes para un tema en particular (por ejemplo, una investigación de cumplimiento) rápidamente y con mayor precisión que las búsquedas tradicionales de palabras clave coneDiscovery avanzado, con tecnología de aprendizaje automático.
* Obtenga vistas previas de resultados de la búsqueda, obtenga estadísticas de palabra clave de una o más búsquedas, edite en masa búsquedas de contenido y exporte los resultados mediante el &Centro de seguridad y cumplimiento.

90 días: Cumplimiento mejorado

Estas tareas tardan un poco más en planearse e implementarse, pero pueden aumentar los esfuerzos generales de cumplimiento del RGPD.

Área Tareas
Iniciar la implementación de requisitos de cumplimiento mediante las funciones de cumplimiento y de gobierno de datos de Microsoft 365. * Administre el cumplimiento del RGPD mediante el Administrador de cumplimiento de Microsoft en el Centro de cumplimiento de Microsoft 365.
* Ayude a los usuarios a identificar y clasificar los datos personales según el RGPD, implementando un esquema de clasificación y un correo asociado a etiquetas de Office 365 para Exchange, sitios de SharePoint, OneDrive para la Empresa y Grupos de Microsoft 365. Consulte Protección de la información para RGDP.
Usar las funciones de seguridad de Microsoft 365 para evitar vulneraciones de datos e implementar la protección de datos personales. * Mejore la autenticación para administradores y usuarios finales en Microsoft Cloud habilitando la autenticación multifactor para todas las cuentas de usuario y la autenticación moderna para todas las aplicaciones. Para obtener información sobre la configuración de directiva recomendada, vea Configuraciones de acceso a dispositivos e identidades.
* Implemente la Protección contra amenazas avanzada de Microsoft Defender en todos los dispositivos de escritorio para protegerlos contra código malicioso, así como prevenir y responder contra vulneraciones de datos.
* Habilite el registro de auditoría y la auditoría de buzón, para todos los buzones de Exchange con el fin de supervisar en busca de actividad potencialmente malintencionada y para habilitar el análisis detallado de vulneraciones de datos.
* Configure, pruebe e implemente directivas de prevención de pérdida de datos (DLP) para identificar, monitorizar y proteger automáticamente más de 80 tipos de información confidencial más comunes en documentos y correos electrónicos, como datos financieros, médicos o personales.
* Implemente lassoluciones de seguridad de Office 365 para ayudar a evitar los ataques más comunes como correos electrónicos que suplantan otras identidades y documentos de Office que contienen vínculos y datos adjuntos malintencionados.

Más de 90 días: Privacidad continua, gobierno de datos y creación de informes

Estas configuraciones son medidas de privacidad importantes que se basan en el trabajo anterior.

Área Tareas
Usar la protección de información y las herramientas de Gobierno de datos avanzado de Microsoft 365 para implementar programas de gobierno continuos para datos personales. * Use las etiquetas de confidencialidad para identificar información personal en documentos y correos electrónicos.
* Proteja los datos personales almacenados en los dispositivos en toda la organización mediante la implementación de Microsoft Intune.
* Implemente las directivas de acceso condicional de AAD junto con Microsoft Intune para asegurarse de que la información personal se almacena y se accede a ella según las directivas corporativas. Para obtener información sobre la configuración de directiva recomendada, consulte Configuraciones de acceso a dispositivos e identidades.
* Implemente directivas de retención de datos con etiquetas de confidencialidad, Gobierno de información de Microsoft y directivas de retención para conservar los datos personales durante el tiempo que sea necesario en su jurisdicción.
Supervisar el cumplimiento continuo de Microsoft 365 y otras aplicaciones en la nube. Considerar la posibilidad de cumplir los requisitos de residencia de datos para los datos personales de la UE. * Use los informes de prevención de pérdida de datos y Microsoft Cloud App Security para supervisar el uso de aplicaciones en la nube e implementar directivas de alerta avanzadas basadas en heurística y en la actividad del usuario.
* Cumpla los requisitos de residencia de datos locales, regionales y de la organización mientras esté configurada como una organización global usando las funciones multigeográficas de Microsoft para los buzones de Exchange Online, los sitios de OneDrive para la Empresa y los de SharePoint Online.

Más información