Evaluaciones de impacto en la protección de datos: guía para controladores que usan datos de diagnóstico de Windows configuración del procesador

Nota

Este tema se aplica a las ediciones Windows 10 Enterprise, Pro y Education, versión 1809 con la actualización de julio de 2021 y posteriores.

El Reglamento general de protección de datos (RGPD) exige a los responsables de los datos realizar una evaluación del impacto de la protección de datos (EIPD) en el caso de operaciones de tratamiento que tengan "probabilidad de suponer un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente en la propia configuración del procesador de datos de diagnóstico de Windows que requiera necesariamente la creación de un DPIA por parte de un controlador que lo utilice. Más bien, si se requiere un DPIA dependerá de los detalles y el contexto de cómo el controlador implementa, configura y usa la configuración del procesador de datos de diagnóstico de Windows.

El propósito de este documento es proporcionar a los controladores información sobre la configuración del procesador de datos de diagnóstico de Windows que les ayudará a determinar si se necesita un DPIA y, de ser así, qué detalles incluir.

Nota

Microsoft no proporciona asesoría legal en este documento. Este documento tiene fines exclusivamente informativos. Se alienta a los clientes a trabajar con sus oficiales de privacidad y asesores legales para determinar la necesidad y el contenido de cualquier DPIA relacionada con su uso de la configuración del procesador de datos de diagnóstico de Windows o cualquier otro servicio en línea de Microsoft.

Parte 1: Determinar si se necesita una EIPD

El artículo 35 del RGPD requiere que un responsable del tratamiento cree una Evaluación de Impacto de la Protección de Datos (DPIA) 'donde un tipo de procesamiento en particular utilizando nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento, probablemente resulte en un alto riesgo para los derechos y libertades de las personas físicas ”. Además, establece factores particulares que indicarían un riesgo tan alto, que se analiza en la siguiente tabla. Para determinar si se necesita un DPIA, un controlador debe considerar estos factores, junto con cualquier otro factor relevante, a la luz de las implementaciones y usos específicos del controlador de la configuración del procesador de datos de diagnóstico de Windows.

Tabla 1: Factores de riesgo DPIA de configuración del procesador de datos de diagnóstico de Windows

Factor de alto riesgo Información relevante sobre la configuración del procesador de datos de diagnóstico de Windows
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. La configuración del procesador de datos de diagnóstico de Windows no proporciona capacidades para realizar determinados procesamientos automatizados de datos.

Sin embargo, dado que otros servicios usan los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows como origen de datos, un controlador de datos podría configurar esos servicios para que se usen para dicho procesamiento. Los controladores deben tomar esta determinación en función de su uso de los servicios que usan los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows.
El procesamiento a gran escala de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales. La configuración del procesador de datos de diagnóstico de Windows no está diseñada específicamente para procesar categorías especiales de datos personales y el uso de la configuración del procesador datos de diagnóstico de Windows no aumenta el riesgo inherente del procesamiento de un responsable.

Sin embargo, un controlador de datos podría usar servicios que usen los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows para procesar las categorías especiales de datos enumeradas. Los servicios que usan los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows como origen de datos pueden permitir al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidas categorías especiales de datos personales. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al responsable de los datos determinar cuáles son usos adecuados de los datos del responsable de los datos.

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una evaluación del impacto sobre la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En una descripción sistemática de una EIPD completa, podrían incluirse factores como el tipo de los datos tratados, durante cuánto tiempo se conservarán, dónde se encuentran los datos y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
  • una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
  • las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con este Reglamento, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.

La tabla siguiente contiene información sobre la configuración del procesador datos de diagnóstico de Windows que es relevante para cada uno de esos elementos. Como en la Parte 1, los controladores de datos deben considerar los detalles proporcionados en la tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de la configuración del procesador de datos de diagnóstico de Windows.

Tabla 2: elementos EIPD de configuración del procesador datos de diagnóstico de Windows

Elementos de una EIPD Información relevante sobre la configuración del procesador de datos de diagnóstico de Windows
Finalidades del tratamiento Los propósitos de procesar los datos de diagnóstico recopilados de acuerdo con datos de diagnóstico de Windows configuración del procesador viene determinado por el controlador que los implementa, configura y usa.

Microsoft, como procesador de datos, procesa datos de diagnóstico de Windows de acuerdo con los términos de los Términos del producto de Microsoft.

Microsoft también usa Datos personales para respaldar un conjunto limitado de operaciones comerciales legítimas que consisten en: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, cálculo de comisiones de empleados e incentivos para socios); (3) elaboración de informes y modelos internos (por ejemplo, previsión, ingresos, planificación de capacidad, estrategia de producto); (4) combatir el fraude, el delito cibernético o los ataques cibernéticos que puedan afectar a Microsoft o los Productos de Microsoft; (5) mejorar la funcionalidad básica de accesibilidad, privacidad o eficiencia energética; y (6) informes financieros y cumplimiento de obligaciones legales (sujeto a las limitaciones en la divulgación de datos de diagnóstico de Windows).

Microsoft es el controlador del procesamiento de datos de diagnóstico de Windows para estas operaciones comerciales legítimas específicas. Por lo general, Microsoft agrega datos de diagnóstico de Windows antes de utilizarlos para nuestras operaciones comerciales legítimas, eliminando la capacidad de Microsoft de identificar a personas específicas, y utiliza los datos de diagnóstico de Windows en la forma menos identificable que permita el procesamiento necesario para las operaciones comerciales legítimas.

Microsoft no usará datos de diagnóstico de Windows recopilados cuando la configuración del procesador de datos de diagnóstico de Windows esté habilitada o la información derivada de ella con fines publicitarios o comerciales similares.
Categorías de datos personales procesados Datos de diagnóstico de Windows: datos técnicos vitales de los dispositivos Windows sobre el dispositivo y sobre el funcionamiento de Windows y el software relacionado. Se usa para mantener Windows actualizado, seguro, confiable, eficaz y para realizar mejoras en el producto. Algunos ejemplos de datos de diagnóstico de Windows son el tipo de hardware que se usa, las aplicaciones que hay instaladas y el uso que se les da, y la información de confiabilidad sobre los controladores de dispositivos. Algunos componentes y aplicaciones de Windows se conectan directamente a servicios Microsoft, pero los datos que intercambian no son datos de diagnóstico de Windows. Por ejemplo, intercambiar la ubicación de un usuario para obtener la información local del tiempo o las noticias locales no es un ejemplo de datos de diagnóstico de Windows.

Para obtener más información sobre el procesamiento de datos al usar la configuración del procesador de datos de diagnóstico de Windows, consulte el Configurar datos de diagnóstico de Windows en la organización, así como el Centro de confianza de Microsoft.
Retención de datos Microsoft conservará y procesará los datos de diagnóstico de Windows recopilados cuando la configuración del procesador de datos de diagnóstico de Windows esté habilitada de acuerdo con los Términos del producto de Microsoft. El cliente puede eliminar y exportar datos de diagnóstico de Windows de acuerdo con una solicitud del interesado mediante las capacidades descritas en datos de diagnóstico de Windows solicitudes del interesado de configuración del procesador para el RGPD y la CCPA.
Ubicación y transferencias de datos personales Datos de diagnóstico de Windows recopila cuando la configuración del procesador de datos de diagnóstico de Windows está habilitada reside en los centros de datos de Microsoft en el Estados Unidos.
Uso compartido de datos con terceros Microsoft puede compartir datos con terceros que actúan como nuestros subprocesadores (es decir, subcontratistas que procesan datos personales) para respaldar funciones como el soporte técnico y al cliente, el mantenimiento del servicio y otras operaciones. Los subcontratistas a los que Microsoft transfiere datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows o los datos de soporte técnico, habrán establecido contratos escritos con Microsoft que no son menos protectores que los términos de los Términos del producto de Microsoft. Todos los subcontratistas externos con los que se comparten datos de diagnóstico o de soporte de Windows se incluyen en las Listas de subcontratistas (consulte 'Limitamos el acceso de los subprocesadores').

La información relacionada con la respuesta de Microsoft a las solicitudes de cumplimiento de la ley y de terceros para datos de diagnóstico de Windows recopiladas de acuerdo con la configuración del procesador datos de diagnóstico de Windows y los datos de soporte técnico se encuentra en los Términos del producto de Microsoft. A menos que Microsoft tenga legalmente prohibido hacerlo, Microsoft intentará redirigir a la agencia de cumplimiento de la ley o a terceros directamente al Cliente.
Derechos del interesado Al operar como procesador, Microsoft facilita al cliente (es decir, el responsable) los datos personales de los titulares de los datos y la capacidad de cumplir con las solicitudes de los interesados cuando estos ejerzan sus derechos según el RGPD. Microsoft hace esto de forma coherente con la función del producto y su rol como procesador de datos. Si Microsoft recibe una solicitud de los interesados de cliente para ejercer uno o más de sus derechos según el RGPD, redirigiremos la solicitud al responsable de los datos.

Datos de diagnóstico de Windows solicitudes de interesados de configuración del procesador para el RGPD y la CCPA proporciona una descripción de cómo admitir los derechos del interesado para datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los objetivos Esa evaluación dependerá de las necesidades y los propósitos de procesamiento del controlador de datos.

Con respecto al procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a los fines de procesamiento reflejados en los Términos del producto de Microsoft.
Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos Los riesgos clave para los derechos y libertades de los interesados del uso de los datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows dependerán de cómo y en qué contexto el responsable del tratamiento implemente, configure y use el datos de diagnóstico de Windows.

Datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows pueden estar en riesgo de acceso no autorizado o divulgación involuntaria. Las medidas que Microsoft toma para abordar estos riesgos se describen en los Términos del producto de Microsoft.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a ayudar a proteger la seguridad de datos de diagnóstico de Windows. Las medidas de seguridad que Microsoft toma se describen en los Términos del producto de Microsoft.

Microsoft toma medidas organizativas y técnicas adecuadas y razonables para proteger los datos personales que procesa. Entre estas medidas, se incluyen los procedimientos y directivas de privacidad internos, los compromisos contractuales, y las certificaciones de normas regionales e internacionales. Para obtener más información, vea la página de Normas de privacidad del Centro de confianza.

Microsoft proporciona una seguridad importante y transparente para el cliente, y en la documentación de privacidad se explica el uso y tratamiento que realiza Microsoft de los datos personales. Se recomienda a los clientes ponerse en contacto con Microsoft si tienen alguna pregunta.

Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican a los encargados de los datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros.

Cuando Microsoft procesa datos de diagnóstico de Windows para sus operaciones comerciales legítimas, cumple con las obligaciones de GDPR que se aplican a los controladores de datos.

Más información