Evaluaciones de impacto en la protección de datos personales: Guía para controladores de datos que usen los Servicios Profesionales de Microsoft

Introducción a los Servicios Profesionales de Microsoft

Los servicios profesionales de Microsoft incluyen un amplio grupo de arquitectos técnicos, ingenieros, consultores y profesionales de soporte técnico dedicados a cumplir la misión de Microsoft de motivar a sus clientes a que hagan más y logren más. Obtenga más información sobre los Servicios Profesionales en la página de Confianza de los Servicios profesionales de Microsoft.

Los Servicios profesionales de Microsoft se toman muy en serio sus obligaciones bajo el Reglamento general de protección de datos (RGPD). La información de este documento está diseñada para proporcionar información sobre las ofertas de consultoría y soporte de Microsoft que los clientes pueden usar al preparar las Evaluaciones del impacto sobre la protección de datos (EIPD) según el RGPD.

Introducción a las EIPD

Según el Reglamento general de protección de datos (RGPD), los responsables de los datos necesitan preparar una EIPD para procesar operaciones “cuando sea probable que entrañen un alto riesgo para los derechos y libertades de las personas físicas”. No hay nada inherente en los Servicios profesionales de Microsoft que exija la creación de una EIPD por parte de un responsable de los datos que los use. Pero la necesidad de una EIPD dependerá de los detalles y el contexto del tipo de servicios y de cómo el responsable de los datos use los servicios profesionales.

La finalidad de este documento es proporcionar a los controladores de datos información sobre los Servicios Profesionales que les permitirá determinar si se necesita una EIPD y, en ese caso, qué detalles incluir.

Parte 1: determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un responsable de los datos cree una evaluación del impacto sobre la protección de datos, “cuando sea probable que un tipo de procesamiento en particular que utiliza nuevas tecnologías y, teniendo en cuenta la naturaleza, alcance, contexto y fines del procesamiento, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. Asimismo, establece factores específicos que pueden indicar dicho alto riesgo, el cual se explica en la tabla siguiente. Al determinar si necesita una EIPD, el responsable de los datos necesita tener en cuenta estos factores, junto con otros factores relevantes, en virtud de las implementaciones y los usos específicos de los Servicios profesionales realizados por el responsable de los datos.

Factor de riesgo Información relevante acerca de los Servicios Profesionales
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el procesamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física; Los Servicios profesionales realizan un procesamiento de datos rutinario o automatizado, como el soporte técnico para reparaciones (por ejemplo, ayudar a los clientes cuando se rompe el equipo), la migración de cuenta y el análisis de vulnerabilidades del sistema. Las soluciones de los Servicios profesionales, excepto el desarrollo del cliente que se abarca en la nota más adelante en esta table, no están pensadas para realizar procesamientos en que se basan las decisiones que producen efectos legales o similares significativos en los individuos.
El procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales; Los Servicios profesionales no están diseñados para usarse en trabajos que requieran el procesamiento de categorías especiales de datos personales, excepto el desarrollo de cliente tratado en la nota que aparece más adelante en esta tabla.

Sin embargo, un controlador de datos podría usar soluciones de consultoría de los Servicios profesionales para procesar las categorías de datos especiales enumeradas. Por ejemplo, los Servicios profesionales ofrecen el desarrollo de bases de datos del sector sanitario que un controlador de datos podría usar para procesar datos personales relacionados con un problema de salud. Es responsabilidad del controlador evaluar y restringir o documentar este uso según corresponda.
Supervisión sistemática de un área accesible públicamente a gran escala. Los Servicios profesionales no están diseñados para usarse en trabajos que requieran o faciliten dicha supervisión, excepto el desarrollo de cliente tratado en la nota que aparece más adelante en esta tabla.

Si un controlador de datos utilizó los Servicios profesionales para desarrollar este tipo de sistema o utilizó sistemas de TI para procesar los datos recopilados mediante dicha supervisión, la responsabilidad sería del controlador de datos, tal y como se describe más adelante en esta tabla.

Nota

1 Con respecto a los criterios según los que el tratamiento se realice a "gran escala", el considerando 91 del RGPD aclara que: "El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria".

[Nota de desarrollo personalizado] Los Servicios Profesionales ofrecen una amplia variedad de soluciones de consultoría. Un controlador de datos podría potencialmente solicitar una solución que, según los criterios anteriores, podría ser una solución de alto riesgo. Por ejemplo, un controlador de datos puede solicitar que los Servicios Profesionales creen una solución para desarrollar un motor de inteligencia empresarial para decisiones de empleo o aplicaciones de crédito, o una solución que implique el seguimiento de usuario, un uso especializado de inteligencia artificial (IA) y análisis o el tratamiento de categorías especiales de datos personales.

Al principio de un compromiso, los Servicios profesionales tiene procesos para evaluar y abordar soluciones de alto riesgo en las que se le puede pedir que trabajen. Por ello, los Servicios profesionales pueden requerir garantías por parte del responsable de los datos sobre el cumplimiento del RGPD (por ejemplo, cláusulas contractuales), un plan de desarrollo de una EIPD u otros criterios (por ejemplo, instrucciones operativas acordadas) según se requiera de un encargado de los datos en el RGPD. Sin embargo, independientemente de las acciones de Microsoft, es responsabilidad del responsable de los datos desarrollar la EIPD con la participación del encargado de los datos del cliente, cuando corresponda.

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una evaluación del impacto sobre la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En una descripción sistemática de una EIPD completa, podrían incluirse factores como el tipo de los datos tratados, durante cuánto tiempo se conservarán, dónde se encuentran los datos y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
  • una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
  • las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con este Reglamento, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.

La tabla siguiente contiene información sobre los Servicios profesionales relevante para cada uno de esos elementos. Al igual que en la parte 1, los responsables de los datos deben tener en cuenta los detalles proporcionados en la tabla, además de otros factores relevantes, en el contexto de las implementaciones y los usos específicos de Servicios profesionales realizados por el responsable de los datos.

Elementos de una EIPD Información relevante acerca de los Servicios Profesionales
Finalidades del tratamiento Las finalidades del tratamiento de datos mediante los Servicios Profesionales las determina el controlador que los implementa, configura y usa.

Como se especifica en el Anexo sobre protección de datos de Servicios Profesionales de Microsoft (MPSDPA), Microsoft, como procesador de datos, procesa Datos de Soporte y Consultoría con la única finalidad de prestar los servicios solicitados a nuestro cliente, el controlador de datos. Microsoft no usará Datos de Soporte y Consultoría o la información derivada de estos para fines publicitarios o comerciales.
Las finalidades del tratamiento de datos mediante los Servicios Profesionales las determina el controlador que los implementa, configura y usa. Como se especifica en el Anexo sobre protección de datos de Servicios Profesionales de Microsoft (MPSDPA), Microsoft, como procesador de datos, procesa Datos de Soporte y Consultoría con la única finalidad de prestar los servicios solicitados a nuestro cliente, el controlador de datos. Microsoft no usará Datos de Soporte y Consultoría o la información derivada de estos para fines publicitarios o comerciales.
Categorías de datos personales procesados Los datos de Soporte técnico y Consultoría se refieren a todos los datos, como texto, sonido, vídeo, archivos de imagen o software, proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza obtener a Microsoft desde un servicio en línea) a través de un compromiso con Microsoft para obtener soporte técnico o servicios profesionales. Esto puede incluir información recopilada en el formulario web, correo electrónico, chat o teléfono. Puede incluir la descripción de problemas, archivos transferidos a Microsoft para resolver problemas de compatibilidad, solucionadores de problemas automatizados o si obtiene acceso a los sistemas de cliente de forma remota con permisos de cliente.

En los Datos de Clientes y de Soporte, no se incluyen el contacto del cliente ni los datos de facturación, como la información de suscripciones y los datos de pagos, que Microsoft recopila y procesa en su función de controlador de datos y que están fuera del alcance de este documento.
Retención de datos Microsoft conservará Datos de Soporte y Consultoría por la duración del compromiso del cliente más un período de retención después de que termine el compromiso, según sea necesario, para garantizar la calidad y la continuidad del servicio. Por ejemplo, cuando se cierra un caso de soporte técnico, los datos normalmente se conservan durante cierto período de tiempo para asegurar la capacidad de hacer referencia a ellos si vuelve a surgir el problema y vuelve a abrirse el caso.

Cuando los Servicios profesionales proporcionan soporte técnico, la duración del compromiso se define cuando se cierra el caso de soporte técnico. Cuando los Servicios profesionales proporcionan servicios de consultoría, el orden de trabajo a menudo define la duración del compromiso. En otros casos, se define mediante el mantenimiento de la relación empresarial. En todos los casos, los Datos de Soporte y Consultoría se eliminarán o se devolverán a solicitud o conforme a las instrucciones del cliente, sin dilación según las funciones descritas en la Guía de derechos del interesado de los datos de los Servicios profesionales.
Ubicación y transferencias de datos personales Debido a la naturaleza de los Servicios Profesionales, incluida la necesidad de ofrecer soporte las 24 horas del día, se pueden transferir los datos en todo el mundo. Una lista de ubicaciones en las que Microsoft opera está disponible bajo pedido. Para los servicios de consultoría, los datos podrán permanecer en el país si así se ha acordado en el orden de trabajo.

En el caso de los datos personales procedentes del Espacio económico europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Uso compartido de datos con terceros Microsoft comparte datos con terceras partes que actúan como subprocesores para facilitar funciones como soporte técnico y atención al cliente, mantenimiento de servicios y otras operaciones. Todos los subcontratistas a los que Microsoft transfiere Datos de Soporte y Consultoría firman contratos por escrito con Microsoft que proporcionan igual o mayor protección que los términos de protección de datos del MPSDPA. Los subprocesores de terceros con los que se comparten los Datos de Soporte y Consultoría según el MPSDPA se incluyen en la Lista de subcontratistas de soporte comercial de Microsoft.

Microsoft no divulgará los Datos de soporte ni los de Consultoría a los organismos de seguridad, excepto si lo exige la ley. Si los organismos de seguridad se ponen en contacto con Microsoft con una demanda de Datos de Soporte y Consultoría, Microsoft intentará redirigir al organismo de seguridad para que solicite esos datos directamente al cliente. Si Microsoft se viera obligado a divulgar Datos de Soporte y Consultoría a un organismo de seguridad, Microsoft notificará de inmediato al cliente y le proporcionará una copia de la demanda, excepto si esta acción estuviera prohibida legalmente.

Al recibir cualquiera de las solicitudes de terceros para Datos de Soporte y Consultoría, Microsoft notificará de inmediato al cliente, excepto si esta acción estuviera prohibida por ley. Microsoft rechazará la solicitud, excepto si esto es exigido por ley. Si la solicitud es válida, Microsoft intentará redirigir al tercero para que solicite los datos directamente al cliente.
Derechos del titular de los datos (DSR) Al operar como encargado de los datos, Microsoft facilita a los clientes (los responsable de los datos) los datos personales de los interesados y la capacidad de cumplir con las solicitudes de los mismos cuando ejercen sus derechos según el RGPD. Hacemos esto de forma coherente con la funcionalidad del producto y con nuestra función como encargado de los datos. Si recibimos una solicitud del interesado de un cliente para ejercer uno o más de sus derechos según el RGPD, redirigiremos al interesado para que realice su solicitud directamente al responsable de los datos.

La Documentación de RGPD sobre las solicitudes del titular de los datos de los Servicios Profesionales proporcionauna descripción de cómo el cliente puede abordar sus obligaciones de derechos del titular de datos en los Servicios Profesionales.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los objetivos Dicha evaluación dependerá de las necesidades y propósitos de procesamiento del controlador.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios al controlador de datos. Microsoft realiza este compromiso en el MPSDPA.
Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos Los riesgos clave para los derechos y libertades de los sujetos de datos derivados del uso de los servicios profesionales serán en función de cómo y en qué contexto el controlador de datos implemente, configure y use las soluciones y los servicios profesionales proporcionados.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden correr el riesgo de sufrir accesos no autorizados o divulgaciones por error. Más adelante en este artículo, se exponen las medidas que toma Microsoft para dar solución a dichos riesgos.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a proteger la seguridad de la información de los clientes. De conformidad con las disposiciones del artículo 32 del RGPD, Microsoft implementó, mantendrá y seguirá las medidas técnicas y organizativas adecuadas cuya finalidad es proteger los Datos de Soporte y Consultoría frente al acceso, divulgación, modificación, pérdida o destrucción, ya sean accidentales, no autorizados o ilícitos.

Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros.

Más información