Evaluaciones de impacto en la protección de datos: Guía para controladores de datos que usan Microsoft Office 365

En virtud del Reglamento general de protección de datos (RGPD), los responsables de los datos deben preparar una evaluación del impacto de la protección de datos (EIPD) para las operaciones de procesamiento que 'puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas'. No hay nada inherente a Microsoft Office 365 que requiera necesariamente la creación de una EIPD por parte de un controlador de datos que la utilice. Más bien, el hecho de que se requiera una EIPD dependerá de los detalles y el contexto de cómo usted, como controlador de datos, implemente, configure y use Office 365.

La parte 1 de este documento proporciona información sobre Office 365 para ayudarle, como controlador de datos, a determinar si se necesita una EIPD. Si la respuesta es afirmativa, las partes 2 y 3 de este documento proporcionan información clave de Microsoft que puede ayudarle a redactar un borrador. En concreto, en la segunda parte se proporcionan respuestas aplicables a todos los servicios de Office 365 para cada uno de los elementos necesarios de un EIPD. La parte 3 proporciona información adicional específica del producto para una serie de las necesidades de información más relevantes de nuestros clientes con el fin de redactar el borrador de sus propias EIPD. La parte 3 también incluye un documento de EIPD ilustrativo que puede descargar y modificar para facilitar la redacción de la EIPD.

Las aplicaciones y servicios de Office 365 incluyen, entre otros, Exchange Online, SharePoint Online, OneDrive para la Empresa, Yammer y Microsoft Teams. Puede ver una lista de los servicios disponibles a través de Office 365 en las tablas 1 y 2 de la Guía de solicitudes del interesado de Office 365.

Parte 1: Determinar si se necesita una EIPD

El artículo 35 del RGPD exige que el responsable del tratamiento de datos cree una evaluación del impacto de la protección de datos "en la que un tipo de tratamiento, en particular utilizando nuevas tecnologías y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, es probable que dé lugar a un alto riesgo para los derechos y libertades de las personas físicas". Además, se exponen los factores particulares que indicarían ese alto riesgo, que se examinan en el cuadro siguiente: Para determinar si se necesita una DPIA, usted, como controlador de datos, debe considerar estos factores, junto con cualquier otro factor pertinente, a la luz de la aplicación o aplicaciones específicas del controlador y el uso o usos de Office 365.

Factor de riesgo Información relevante acerca de Office 365
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles. Asimismo, sobre la base de esta evaluación, se basan decisiones que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. Dependiendo de la configuración del controlador de datos, Office 365 puede llevar a cabo cierto procesamiento automatizado de datos, como el análisis realizado por Workplace Analytics que permite al controlador de datos obtener información sobre la forma en que las personas colaboran dentro de una organización a partir de la información del correo electrónico y del encabezado del calendario de los buzones de los usuarios.

Office 365 no está diseñado para realizar tratamientos automatizados como base para decisiones con efectos legales o igual de significativos en los usuarios. Pero, dado que Office 365 es un servicio muy personalizable, un controlador de datos podría potencialmente usarlo para dicho tratamiento.
El procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales Office 365 no se diseñó para procesar categorías especiales de datos personales.

Sin embargo, un controlador de datos podría usar Office 365 para procesar las categorías de datos especiales indicadas anteriormente. Office 365 es un servicio altamente personalizable que permite al cliente realizar un seguimiento de cualquier tipo de datos o procesarlos, incluidas categorías especiales de datos personales. Cualquier uso de este tipo es relevante para que un controlador determine si se necesita una EIPD. Pero como procesador de datos, Microsoft no tiene control sobre dicho uso y, por lo general, tendría poca o ninguna información sobre ello.
Supervisión sistemática de un área accesible públicamente a gran escala. Office 365 no se diseñó para realizar o facilitar dicha supervisión.

Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión.

Nota

1 Con respecto a los criterios según los que el tratamiento se realice a "gran escala", el considerando 91 del RGPD aclara que: "El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria".

Parte 2: Contenido de una EIPD

El artículo 35 (7) del RGPD exige que una Evaluación de impacto en la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En las EIPD de Microsoft, en dicha descripción sistemática podrían incluirse factores como el tipo de los datos procesados, durante cuánto tiempo se conservan, dónde se encuentran y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;
  • una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
  • las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el Reglamento general de protección de datos, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.

La tabla siguiente proporciona información clave de Microsoft que puede ayudarle con la redacción de la EIPD. Contiene información sobre Office 365 que es relevante para cada uno de los elementos de una EIPD. En la parte 1, los controladores de datos deben tener en cuenta la información facilitada a continuación, junto con los detalles de sus propios usos e implementaciones específicas de Office 365.

Factores de riesgo Información relevante acerca de Office 365
Finalidades del tratamiento Las finalidades del tratamiento de datos con Office 365 las determina el controlador que lo implementa, configura y usa.

Como se especifica en los Términos de servicios en líneayAnexos de protección de datos, Microsoft, como procesador de datos, procesa los datos del cliente para proporcionarle los Servicios en línea de acuerdo con las instrucciones documentadas del cliente.

Como se detalla en los estándaresTérminos de servicios en línea y Anexos de protección de datos, Microsoft también utiliza los datos personales para apoyar un conjunto limitado de operaciones comerciales legítimas que consisten en: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, cálculo de comisiones de empleados e incentivos de socios); (3) generación de informes y modelos internos (por ejemplo, previsiones, ingresos, planificación de capacidad, estrategia de productos); (4) lucha contra el fraude, los delitos cibernéticos o los ataques cibernéticos que pueden afectar a Microsoft o a los productos de Microsoft; (5) mejora de la funcionalidad básica de accesibilidad, privacidad o eficiencia energética; y (6) generación de informes financieros y cumplimiento de las obligaciones legales (con sujeción a las limitaciones de divulgación de los datos de los clientes que se describen en los Términos de servicio en línea).

Microsoft es el controlador del procesamiento de datos personales para apoyar estas operaciones comerciales legítimas específicas. Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas, eliminando la capacidad de Microsoft de identificar a personas específicas, y utiliza los datos personales en la forma menos identificable que permita el procesamiento necesario para las operaciones comerciales legítimas.

Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares.
Categorías de datos personales procesados Datos de cliente: Estos son todos los datos, incluidos los archivos de texto, sonido, vídeo o imagen y el software, que los clientes proporcionan a Microsoft o que se proporcionan en nombre de los clientes mediante el uso de los servicios en línea de Microsoft. Se incluyen los datos que los clientes cargan para su almacenamiento o procesamiento, así como las personalizaciones. Algunos ejemplos de datos de clientes procesados en Office 365 incluyen contenido de correo electrónico en Exchange Online y documentos o archivos almacenados en SharePoint Online o OneDrive para la Empresa.

Datos generados por servicios: Se trata de datos generados o derivados por Microsoft a través del funcionamiento del servicio, como los datos de uso o de rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft.

Datos de diagnóstico: Estos datos son recopilados u obtenidos por Microsoft a partir de software instalado localmente por el cliente en relación con el Servicio en línea y también puede denominarse telemetría. Estos datos se identifican comúnmente por los atributos del software instalado localmente o la máquina que ejecuta ese software.

Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) con una interacción con Microsoft para obtener soporte técnico para los servicios en línea.

En los datos de clientes, los datos de registro generados por el sistema y los datos de soporte técnico, no se incluyen los datos del administrador ni de facturación, como la información de contacto del administrador de clientes, información sobre suscripciones y datos de pagos, que Microsoft recopila y procesa en calidad de controlador de datos y que están fuera del alcance de este documento.
Retención de datos Datos de clientes: como se establece en las Condiciones de protección de datos de las Condiciones de los servicios en línea, Microsoft conservará los datos del cliente durante la duración del derecho del cliente a usar el servicio y hasta que todos los datos del cliente se eliminen o se devuelvan de acuerdo con las instrucciones del cliente o los términos de las Condiciones de los servicios en línea.

En todo momento durante el plazo de la suscripción del cliente, éste tendrá la posibilidad de acceder, extraer y eliminar los datos del cliente almacenados en el servicio, sujeto en algunos casos a la funcionalidad específica del producto destinada a mitigar el riesgo de eliminación involuntaria (por ejemplo, la carpeta de elementos recuperados de Exchange), como se describe con más detalle en la documentación del producto.

Excepto en caso de pruebas gratuitas y servicios LinkedIn, Microsoft conservará los datos de clientes almacenados en el servicio en línea en una cuenta de funciones limitadas durante 90 días después de la expiración o cancelación de la suscripción del cliente para que el cliente pueda extraer los datos. Después de que finalice el período de retención de 90 días, Microsoft deshabilita la cuenta del cliente y elimina los datos.

Datos de registro generados por el sistema: esos datos se conservan durante un período de hasta 180 días a partir de su recopilación, con sujeción a períodos de retención más prolongados cuando así lo exija la seguridad de los servicios o el cumplimiento de obligaciones legales o reglamentarias.

Para obtener más información sobre la capacidad de servicio que permite a los clientes eliminar los datos personales que se mantienen en el servicio en cualquier momento, vea la Guía de Solicitudes de los interesados de Office 365.
Ubicación y transferencias de datos personales <Como se describe en el Anexo 1 de los Términos de los servicios en línea, si el cliente proporciona su instancia de Office 365 en Australia, Canadá, la Unión Europea, Francia, India, Japón, Corea del Sur, el Reino Unido o los Estados Unidos, Microsoft almacenará los siguientes datos del cliente en reposo sólo dentro de esa ubicación: (1) Contenido del buzón de Exchange Online (cuerpo del correo electrónico, entradas del calendario y el contenido de los archivos adjuntos al correo electrónico), (2) contenido del sitio SharePoint Online y los archivos almacenados en ese sitio, (3) archivos cargados en OneDrive para Empresas y (4) contenido de proyectos cargados en Project en línea.

En el caso de los datos personales procedentes del Espacio económico europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como subprocesadores para facilitar funciones como soporte técnico y atención al cliente, mantenimiento de servicios y otras operaciones. Todos los subcontratistas a los que Microsoft transfiere datos de clientes, datos de soporte o datos personales firman contratos por escrito con Microsoft que proporcionan igual o mayor protección que los Términos de protección de datos de los Términos de servicios en línea. Los subprocesadores de terceros con los que se comparten los datos de clientes de los servicios en línea básicos de Microsoft se incluyen en la lista de subcontratistas de servicios en línea. Todos los subprocesadores de terceros que pueden acceder a los datos de soporte (incluidos los datos de clientes que los clientes eligen compartir durante sus interacciones de soporte) se incluyen en la lista de contratistas de soporte comercial de Microsoft.
Uso compartido de datos con terceros independientes Algunos productos de Office 365 incluyen opciones de extensibilidad que permiten, a elección del controlador, el uso compartido de datos con terceros independientes. Por ejemplo, Exchange Online es una plataforma extensible que permite integrar conectores o complementos de terceros con Outlook y ampliar los conjuntos de características de Outlook. Estos proveedores de terceros de complementos o conectores actúan de forma independiente de Microsoft y sus complementos o conectores los deben habilitar los usuarios o administradores de empresa, que se autentican con su cuenta de complemento o un conector.

Microsoft no divulgará los datos de clientes ni los datos de soporte técnico a los organismos de seguridad, excepto si es exigido por ley. Si los organismos de seguridad se ponen en contacto con Microsoft con una demanda de datos de clientes o datos de soporte técnico, Microsoft intentará redirigir al organismo de seguridad para que solicite esos datos directamente al cliente. Si estuviera obligado a divulgar datos de clientes o datos de soporte técnico a un organismo de seguridad, Microsoft notificará de inmediato al cliente y le proporcionará una copia de la demanda, excepto si esta acción estuviera prohibida legalmente.

Al recibir cualquiera de las otras solicitudes de terceros de datos de clientes o datos de soporte técnico, Microsoft notificará de inmediato al cliente, excepto si esta acción estuviera prohibida por ley. Microsoft rechazará la solicitud, excepto si esto es exigido por ley. Si la solicitud es válida, Microsoft intentará redirigir al tercero para solicitar los datos directamente del cliente.
Derechos del titular de los datos Al operar como procesador, Microsoft facilita a los clientes (los controladores de datos) los datos personales de los sujetos de datos y la capacidad de cumplir con solicitudes de los mismos cuando ejercen sus derechos según el RGPD. Hacemos esto de forma coherente con la funcionalidad del producto y nuestra función de procesador. Si recibimos una solicitud del interesado de datos de un cliente para ejercer uno o más de sus derechos según el RGPD, redirigimos al interesado para que realice su solicitud directamente al controlador de datos. La Guía de Solicitudes de los interesados de Office 365 proporciona una descripción al controlador de datos sobre cómo admitir los derechos del interesado mediante las capacidades de Office 365.

Las solicitudes de un interesado para ejercer sus derechos en virtud del Reglamento sobre la aplicación de la ley de protección de los datos personales procesados para apoyar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft.

Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas y no está en condiciones de identificar los datos personales de un individuo específico en el agregado. Esto reduce significativamente el riesgo para la privacidad del individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los propósitos Dicha evaluación dependerá de las necesidades y propósitos de procesamiento del controlador.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos.
Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos Los riesgos clave para los derechos y libertades de los sujetos de datos derivados del uso de Office 365 dependerán de cómo y en qué contexto el controlador de datos lo implemente, configure y use.

Microsoft toma medidas como la anonimización o agregación de los datos personales utilizados por Microsoft para apoyar las operaciones comerciales legítimas con el fin de respaldar la prestación de los servicios, minimizando el riesgo de dicho procesamiento para los titulares de los datos que utilizan el servicio.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden correr el riesgo de sufrir accesos no autorizados o divulgaciones por error. En las siguientes secciones, se exponen las medidas que toma Microsoft para dar solución a dichos riesgos.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a proteger la seguridad de la información de los clientes. De conformidad con las disposiciones del artículo 32 del RGPD, Microsoft implementó y mantendrá y seguirá las medidas técnicas y organizativas adecuadas cuya finalidad es proteger los datos de clientes y los datos de soporte técnico frente al acceso, divulgación, modificación, pérdida o destrucción, ya sean accidentales, no autorizados o ilícitos.

Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican a los encargados de los datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros.

Cuando Microsoft procesa datos personales para sus operaciones comerciales legítimas, cumple con las obligaciones de la GDPR que se aplican a los controladores de datos.

Parte 3: Las EIPD son difíciles, pero esto puede resultar útil

Si ha determinado que la organización necesita redactar una EIPD, la información de esta sección se ha diseñado para facilitar el proceso.

Esta sección:

  • ofrece información específica de Office 365 y sobre el producto, contiene elementos de servicio relevantes y
  • le proporciona una plantilla de modelo en blanco de EIPD que puede descargar, modificar y utilizar para redactar sus propias EIPD.

Matriz de elementos de servicio de EIPD

La Matriz de elementos de servicio de la EIPD es una organización de contenido que puede resultarle útil al iniciar el proceso de documentación de su EIPD. Está organizada por servicio y proporciona información específica del producto y enlaces a documentación que pueden ayudarle a redactar respuestas dinámicas a los elementos requeridos de la EIPD más fácilmente.

Documentos EIPD personalizables

Sabemos que la redacción de una EIPD puede ser un esfuerzo que requiere mucho tiempo. Aunque las EIPD de cada cliente serán diferentes según la forma en que cada organización configure y use Office 365, el siguiente documento puede ahorrarle tiempo. Puede descargar el Documento de EIPD personalizable como una plantilla ilustrativa modificable para comenzar rápidamente. Es gratis para usarlo y adaptarlo a su implementación específica del servicio. Este documento no debe interpretarse como asesoramiento legal proporcionado por Microsoft o cualquiera de sus filiales. Si tiene alguna pregunta sobre el proceso de redacción de la EIPD, le recomendamos que consulte con su abogado.

Más información