Cláusulas modelo de la Unión Europea

Información general de las cláusulas modelo de la Unión Europea

La legislación de protección de datos de la Unión Europea (UE) regula la transferencia de datos personales de los clientes de la UE a países ajenos al Espacio Económico Europeo (EEE), que incluye todos los países de la UE e Islandia, Liechtenstein y Noruega. Las cláusulas modelo de la UE son cláusulas contractuales normalizadas que se usan en contratos entre proveedores de servicios (como Microsoft) y sus clientes para garantizar que los datos personales que salen del EEE se transfieran cumpliendo con la legislación de protección de datos de la UE y cumplen los requisitos de la Directiva de protección de datos de la UE 95/46/CE.

En un nivel práctico, el cumplimiento de la legislación de protección de datos de la UE también implica que los clientes necesitan una menor aprobación por parte de las autoridad individuales para transferir datos personales fuera de la UE, ya que la mayoría de los estados miembros de la UE no requieren autorización adicional si la transferencia se basa en un acuerdo que cumpla con las cláusulas modelo.

Microsoft y las cláusulas modelo de la Unión Europea

Microsoft ha invertido en los procesos operativos necesarios para cumplir los exigentes requisitos de las cláusulas modelo para la transferencia de datos personales a los procesadores. Microsoft ofrece a los clientes cláusulas modelo, denominadas cláusulas contractuales estándares, que hacen garantías específicas en torno a las transferencias de datos personales para los servicios de Microsoft en el ámbito. Así se garantiza que los clientes de Microsoft pueden mover libremente datos en la nube de Microsoft del EEE al resto del mundo.

Sin embargo, los clientes empresariales de Microsoft, que son los controladores de los datos personales, tienen la obligación principal de proteger los datos. Esto implica que los clientes empresariales del EEE tienen un gran interés en garantizar que su proveedor de servicios respete la legislación de protección de datos de la UE, o el cliente puede afrontar responsabilidad penal e incluso el bloqueo de su capacidad de usar un servicio.

Microsoft proporcionó sus cláusulas contractuales estándares al Grupo de trabajo del artículo 29 para su revisión y aprobación. El Grupo de trabajo del artículo 29 incluye representantes del Supervisor Europeo de Protección de Datos, de la Comisión Europea y de cada una de las 28 autoridades de protección de datos de la UE (APD).

El Grupo determinó que la implementación de las disposiciones en los acuerdos de Microsoft estaba en línea con sus requisitos estrictos. (Microsoft fue el primer proveedor de servicios de nube que recibió una carta aval del grupo). La aprobación abarcó las interacciones reflejadas en las cláusulas modelo 2010/87/EU, pero no en los apéndices, que describen las transferencias de datos y las medidas de seguridad implementadas por el importador de datos. La APD puede analizar los apéndices por separado.

Servicios de la nube dentro del alcance de Microsoft

  • Azure y Azure Government
  • Microsoft Cloud App Security
  • Servicios profesionales de Microsoft: Premier y local para Azure, Dynamics 365, Intune y para empresas medianas y clientes empresariales de Microsoft 365 para empresas
  • Dynamics 365
  • Intune: parte del servicio de nube de la administración de dispositivos móviles y productos de complemento de Intune para Office 365
  • El servicio de nube de Power Automate (anteriormente conocido como Microsoft Flow) como servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
  • Office 365
  • El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
  • Azure DevOps Services
  • Microsoft Defender para punto de conexión para las siguientes partes de servicio en la nube: detección de extremos & respuesta, investigación automática & corrección, calificación segura.

Auditorías, informes y certificados

Microsoft evalúa continuamente los estándares de la UE y actualiza sus servicios según sea necesario.

Preguntas más frecuentes

¿Qué es la Directiva de protección de datos de la UE 95/46/CE?

Esta directiva define la base de referencia para administrar datos personales en la UE. Ofrece el marco normativo bajo el que Microsoft transfiere datos personales desde la UE. En virtud de esta directiva y de nuestros acuerdos contractuales, Microsoft actúa como el procesador de datos de los datos de clientes. El cliente actúa como el controlador de datos, con la propiedad y responsabilidad final para garantizar que los datos se puedan proporcionar legalmente a Microsoft para el tratamiento fuera del EEE.

¿Por qué es importante el cumplimiento de las cláusulas modelo?

Un proveedor de servicios que se compromete por contrato con las cláusulas modelo garantiza a sus clientes que los datos personales se van a transferir y procesar de acuerdo con la legislación de protección de datos de la UE. El uso de las cláusulas modelo también implica que los clientes necesitan recibir menos aprobaciones de las entidades de protección de datos individuales para transferir datos personales fuera de la UE.

¿Dónde puedo ver información de cumplimiento normativo de servicios de Microsoft?

El cumplimiento normativo es un compromiso contractual. Las cláusulas contractuales estándares de Microsoft están disponibles para todos los clientes de nube en los Términos de servicios en línea, para otros servicios, vea el contrato existente con Microsoft.

¿Qué es un "subprocesador"?

Un subprocesador es alguien que procesa datos personales siguiendo las instrucciones del controlador de los datos, así como los términos de las cláusulas modelo de la UE y el subcontratista. Los clientes de Microsoft, en especial los proveedores de software independientes (ISV), en ocasiones son procesadores de datos. En esos casos, Microsoft es el subprocesador.

¿Dónde puedo empezar con los esfuerzos de cumplimiento normativo de mi organización?

Puede especificar un acuerdo como, por ejemplo, los Términos de servicios en línea, o explorar su acuerdo existente para incorporar las cláusulas contractuales estándar.

Recursos