Evaluaciones de impacto en la protección de datos: guía para controladores que usan datos de diagnóstico de Windows configuración del procesador
Nota:
Este tema se aplica a las ediciones Windows 10 Enterprise, Pro y Education, versión 1809 con la actualización de julio de 2021 y posteriores.
En virtud del Reglamento General de Protección de Datos (RGPD), los controladores deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a la propia configuración del procesador de datos de diagnóstico de Windows que requiera necesariamente la creación de un DPIA por parte de un controlador que la use. En su lugar, si se requiere un DPIA depende de los detalles y el contexto de cómo el controlador implementa, configura y usa la configuración del procesador de datos de diagnóstico de Windows.
El propósito de este documento es proporcionar a los controladores información sobre la configuración del procesador de datos de diagnóstico de Windows que les ayudará a determinar si se necesita un DPIA y, de ser así, qué detalles incluir.
Nota:
Microsoft no proporciona asesoría legal en este documento. Este documento tiene fines exclusivamente informativos. Se alienta a los clientes a trabajar con sus oficiales de privacidad y asesores legales para determinar la necesidad y el contenido de cualquier DPIA relacionada con su uso de la configuración del procesador de datos de diagnóstico de Windows o cualquier otro servicio en línea de Microsoft.
Parte 1: Determinar si se necesita una EIPD
El artículo 35 del RGPD exige a un responsable de la protección de datos que cree una evaluación de impacto de la protección de datos (DPIA) "[w]here un tipo de procesamiento en particular utilizando nuevas tecnologías, y teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del procesamiento, es probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas". Además, el artículo define los factores específicos que pueden suponer un riesgo alto. En la tabla siguiente se trata dicho riesgo. Para determinar si se necesita un DPIA, un controlador debe tener en cuenta estos factores, junto con cualquier otro factor relevante, a la luz de las implementaciones y usos específicos del controlador de la configuración del procesador de datos de diagnóstico de Windows.
Tabla 1: Factores de riesgo DPIA de configuración del procesador de datos de diagnóstico de Windows
| Factor de alto riesgo | Información relevante sobre la configuración del procesador de datos de diagnóstico de Windows |
|---|---|
| Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. | La configuración del procesador de datos de diagnóstico de Windows no proporciona funcionalidades para realizar cierto procesamiento automatizado de datos. Sin embargo, dado que otros servicios usan los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows como origen de datos, un controlador de datos podría configurar esos servicios para que se usen para dicho procesamiento. Los controladores deben tomar esta determinación en función de su uso de los servicios que usan los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows. |
| El procesamiento a gran escala de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales. | La configuración del procesador de datos de diagnóstico de Windows no está diseñada específicamente para procesar categorías especiales de datos personales y el uso de la configuración del procesador de datos de diagnóstico de Windows no aumenta el riesgo inherente del procesamiento de un controlador. Sin embargo, un controlador de datos podría usar servicios que usen los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows para procesar las categorías especiales de datos enumeradas. Los servicios que usan los datos de diagnóstico recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows como origen de datos pueden permitir al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidas categorías especiales de datos personales. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al controlador de datos determinar los usos adecuados de los datos del controlador de datos. |
Parte 2: Contenido de una EIPD
El artículo 35 (7) exige que una Evaluación de impacto en la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En dicha descripción sistemática podrían incluirse factores como el tipo de los datos procesados, durante cuánto tiempo se conservan, dónde se encuentran y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:
- una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
- una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
- las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con este Reglamento, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.
La tabla siguiente contiene información sobre la configuración del procesador datos de diagnóstico de Windows que es relevante para cada uno de esos elementos. Como en la Parte 1, los controladores de datos deben considerar los detalles proporcionados en la tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de la configuración del procesador de datos de diagnóstico de Windows.
Tabla 2: elementos EIPD de configuración del procesador datos de diagnóstico de Windows
| Elementos de una EIPD | Información relevante sobre la configuración del procesador de datos de diagnóstico de Windows |
|---|---|
| Finalidades del tratamiento | Los propósitos de procesar los datos de diagnóstico recopilados de acuerdo con datos de diagnóstico de Windows configuración del procesador viene determinado por el controlador que los implementa, configura y usa. Microsoft, como procesador de datos, procesa datos de diagnóstico de Windows de acuerdo con los términos de los Términos del producto de Microsoft. Como se detalla en los Términos de producto de Microsoft y el Complemento de protección de datos de productos y servicios de Microsoft (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones empresariales. Microsoft es el responsable del procesamiento de datos de diagnóstico de Windows para estas operaciones empresariales específicas. Por lo general, Microsoft agrega datos de diagnóstico de Windows antes de usarlos para nuestras operaciones comerciales legítimas, lo que elimina la capacidad de Microsoft para identificar a personas específicas y utiliza los datos de diagnóstico de Windows en la forma menos identificable que respaldará el procesamiento necesario para las operaciones comerciales legítimas. Microsoft no usará los datos de diagnóstico de Windows recopilados cuando la configuración del procesador de datos de diagnóstico de Windows esté habilitada o la información derivada de ella para cualquier publicidad o fines comerciales similares. |
| Categorías de datos personales procesados | Datos de diagnóstico de Windows: datos técnicos vitales de los dispositivos Windows sobre el dispositivo y sobre el funcionamiento de Windows y el software relacionado. Se usa para mantener Windows actualizado, seguro, confiable, eficaz y para realizar mejoras en el producto. Algunos ejemplos de datos de diagnóstico de Windows son el tipo de hardware que se usa, las aplicaciones que hay instaladas y el uso que se les da, y la información de confiabilidad sobre los controladores de dispositivos. Algunos componentes y aplicaciones de Windows se conectan directamente a los servicios de Microsoft, pero los datos que intercambian no son datos de diagnóstico de Windows. Por ejemplo, intercambiar la ubicación de un usuario por el clima local o las noticias no es un ejemplo de datos de diagnóstico de Windows. Para obtener más información sobre el procesamiento de datos al usar la configuración del procesador de datos de diagnóstico de Windows, vea Configurar datos de diagnóstico de Windows en su organización y el Centro de confianza de Microsoft. |
| Retención de datos | Microsoft conservará y procesará los datos de diagnóstico de Windows recopilados cuando la configuración del procesador de datos de diagnóstico de Windows esté habilitada de acuerdo con los Términos del producto de Microsoft. El cliente puede eliminar y exportar datos de diagnóstico de Windows de acuerdo con una solicitud del interesado mediante las capacidades descritas en datos de diagnóstico de Windows solicitudes del interesado de configuración del procesador para el RGPD y la CCPA. |
| Ubicación y transferencias de datos personales | A partir de agosto de 2023, para los dispositivos aptos actualizados con la actualización acumulativa de la versión preliminar de enero de 2023 o posterior, cuando la configuración del procesador de datos de diagnóstico de Windows está habilitada, la ubicación se asigna automáticamente en función de la dirección de facturación del inquilino Microsoft Entra del cliente. Los dispositivos Windows con datos de diagnóstico activados y que están unidos a un inquilino de Microsoft Entra con dirección de facturación en el límite de datos de la UE, se inscribirán automáticamente en la configuración del procesador de datos de diagnóstico de Windows y los datos de diagnóstico de Windows recopilados residirán en centros de datos en una ubicación de la UE. De lo contrario, los datos de diagnóstico de Windows recopilados residen o se pueden transferir a centros de datos en el Estados Unidos. |
| Uso compartido de datos con terceros | Microsoft puede compartir datos con terceros que actúan como nuestros subprocesadores (es decir, subcontratistas que procesan datos personales) para respaldar funciones como el soporte técnico y al cliente, el mantenimiento del servicio y otras operaciones. Los subcontratistas a los que Microsoft transfiere datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows o los datos de soporte técnico, habrán establecido contratos escritos con Microsoft que no son menos protectores que los términos de los Términos del producto de Microsoft. Todos los subcontratistas externos con los que se comparten datos de diagnóstico o de soporte de Windows se incluyen en las Listas de subcontratistas (consulte 'Limitamos el acceso de los subprocesadores'). La información sobre la respuesta de Microsoft a las solicitudes de cumplimiento de la ley y de terceros para los datos de diagnóstico de Windows recopiladas de acuerdo con la configuración del procesador de datos de diagnóstico de Windows y los datos de soporte técnico se encuentra en los Términos del producto de Microsoft. Excepto si Microsoft no pudiera hacerlo legalmente, intentará redirigir al organismo de seguridad o las terceras partes directamente al cliente. |
| Derechos del titular de los datos (DSR) | Al operar como entidad de tratamiento, Microsoft pone a disposición del cliente (es decir, del responsable) los datos personales de sus interesados y le posibilita realizar solicitudes de los interesados cuando estos ejerzan sus derechos en virtud del RGPD. Microsoft lo hace de forma coherente con la funcionalidad del producto y su papel como encargado de los datos. Si Microsoft recibe una solicitud de los titulares de los datos del cliente para ejercer uno o más de sus derechos en virtud de la Ley de protección de datos, la solicitud será redirigida al controlador de datos. Datos de diagnóstico de Windows solicitudes de interesados de configuración del procesador para el RGPD y la CCPA proporciona una descripción de cómo admitir los derechos del interesado para datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows. |
| Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los objetivos | Dicha evaluación depende de las necesidades y los propósitos del tratamiento del controlador de datos. Con respecto al procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a los fines de procesamiento reflejados en los Términos del producto de Microsoft. |
| Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos | Los riesgos clave para los derechos y libertades de los interesados del uso de los datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows dependerán de cómo y en qué contexto el responsable del tratamiento implemente, configure y use el datos de diagnóstico de Windows. Datos de diagnóstico de Windows recopilados de acuerdo con la configuración del procesador de datos de diagnóstico de Windows pueden estar en riesgo de acceso no autorizado o divulgación involuntaria. Las medidas que Microsoft toma para abordar estos riesgos se describen en los Términos del producto de Microsoft. |
| Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. | Microsoft se compromete a ayudar a proteger la seguridad de los datos de diagnóstico de Windows. Las medidas de seguridad que Microsoft toma se describen en los Términos de producto de Microsoft. Microsoft toma medidas técnicas y organizativas razonables y adecuadas para proteger los datos personales que trata. Estas medidas incluyen, entre otras, directivas y prácticas de privacidad internas, compromisos contractuales y certificaciones estándar internacionales y regionales. Para obtener más información, consulte la página de normas de privacidad del centro de confianza. Microsoft proporciona importantes y transparentes materiales de seguridad y privacidad para ayudar a explicar el uso y el procesamiento de datos personales por parte de Microsoft. Se recomienda a los clientes que se pongan en contacto con Microsoft si tienen preguntas. Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros. Cuando Microsoft procesa datos de diagnóstico de Windows para sus operaciones comerciales legítimas, cumple con las obligaciones de GDPR que se aplican a los controladores de datos. |
Más información
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de