Cláusulas modelo de la Unión Europea

Información general de las cláusulas modelo de la Unión Europea

La legislación de protección de datos de la Unión Europea (UE) regula la transferencia de datos personales de los clientes de la UE a países ajenos al Espacio Económico Europeo (EEE), que incluye todos los países de la UE e Islandia, Liechtenstein y Noruega. En un nivel práctico, el cumplimiento de la legislación de protección de datos de la UE también implica que los clientes necesitan una menor aprobación por parte de las autoridad individuales para transferir datos personales fuera de la UE, ya que la mayoría de los estados miembros de la UE no requieren autorización adicional si la transferencia se basa en un acuerdo que cumpla con las cláusulas modelo.

Microsoft y las cláusulas modelo de la Unión Europea

El Reglamento general de protección de datos (RGPD) de la Unión Europea (UE) regulará la transferencia de datos personales de los clientes a países fuera del Espacio Económico Europeo (EEE), que incluye a todos los países de la UE e Islandia, Liechtenstein y Noruega. Microsoft ofrece a los clientes las cláusulas contractuales estándar de la UE (SCC) (también conocidas como cláusulas modelo de la UE) que proporcionan garantías específicas en torno a las transferencias de datos personales para servicios dentro del ámbito. Las cláusulas modelo de la UE se usan en contratos entre proveedores de servicios (como Microsoft) y sus clientes para garantizar que los datos personales que salen del EEE se transfieran cumpliendo con la RGPD.

En julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó el marco del Escudo de privacidad UE-EE. UU. para las transferencias de datos personales de la UE a los Estados Unidos. Sin embargo, las cláusulas modelo de la UE siguen proporcionando un mecanismo válido para la transferencia de datos personales desde la UE y la EEA, así como desde Suiza y el Reino Unido. Microsoft pone las cláusulas modelo de la UE a disposición de los clientes, tal como se describe en el Anexo de protección de datos (DPA)de los Términos de servicios en línea de Microsoft (OST).

Servicios y plataformas en la nube dentro de Microsoft

  • Azure y Azure Government
  • Azure DevOps
  • Dynamics 365
  • Intune: parte del servicio de nube de la administración de dispositivos móviles y productos de complemento de Intune para Office 365
  • Microsoft Cloud App Security
  • Microsoft Defender para punto de conexión para las siguientes partes de servicio en la nube: detección de extremos y respuesta, investigación automática y corrección, calificación segura.
  • Servicios profesionales de Microsoft: Premier y local para Azure, Dynamics 365, Intune y para empresas medianas y clientes empresariales de Microsoft 365 para empresas
  • Office 365
  • El servicio de nube de Power Automate (anteriormente conocido como Microsoft Flow) como un servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365

Office 365 y las cláusulas modelo de la Unión Europea

Entornos en la nube de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos en la nube de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Protección contra amenazas avanzada, Azure Active Directory, Azure Information Protection, Bookings, Administrador de cumplimiento, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Bookings, Microsoft Graph, Microsoft Teams, Microsoft To-Do para web, MyAnalytics, complemento cumplimiento avanzado de Office 365, Office 365 Cloud App Security, Grupos de Office 365, Office 365 Centro de seguridad y cumplimiento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Yammer Enterprise

Auditorías, informes y certificados

Microsoft evalúa continuamente los estándares de la UE y actualiza sus servicios según sea necesario.

Preguntas más frecuentes

¿Por qué es importante el cumplimiento de las cláusulas modelo?

Un proveedor de servicios que se compromete por contrato con las cláusulas modelo garantiza a sus clientes que los datos personales se van a transferir y procesar de acuerdo con la legislación de protección de datos de la UE. El uso de las cláusulas modelo también implica que los clientes necesitan recibir menos aprobaciones de las entidades de protección de datos individuales para transferir datos personales fuera de la UE.

¿Dónde puedo ver información de cumplimiento normativo de servicios de Microsoft?

El cumplimiento normativo es un compromiso contractual. Las cláusulas contractuales estándares de Microsoft están disponibles para todos los clientes de nube en los Términos de servicios en línea, para otros servicios, vea el contrato existente con Microsoft.

¿Qué es un "subprocesador"?

Un subprocesador es alguien que procesa datos personales siguiendo las instrucciones del controlador de los datos, así como los términos de las cláusulas modelo de la UE y el subcontratista. Los clientes de Microsoft, en especial los proveedores de software independientes (ISV), en ocasiones son procesadores de datos. En esos casos, Microsoft es el subprocesador.

¿Dónde puedo empezar con los esfuerzos de cumplimiento normativo de mi organización?

Puede especificar un acuerdo como, por ejemplo, los Términos de servicios en línea, o explorar su acuerdo existente para incorporar las cláusulas contractuales estándar.

Recursos