Más información sobre los términos de privacidad clave y las categorías de datos
Comencemos revisando algunos términos clave de privacidad.
Controlador de datos (controlador): una persona jurídica, autoridad pública, agencia u otro organismo, que por sí solos o conjuntamente con otras personas, determinan el propósito y el medio del procesamiento de datos personales.
El cliente es el controlador de datos para su uso de Servicios en línea de Microsoft y servicios profesionales. Microsoft es el procesador de datos (excepto en aquellos casos en los que el cliente es el procesador de datos, en cuyo caso Microsoft es el subprocesador). Microsoft es un controlador de datos independiente para los datos que se usan para proporcionar un conjunto limitado de operaciones comerciales legítimas ( LBO) necesarias para admitir el uso de Servicios en línea y servicios profesionales de Microsoft.
Datos personales y interesados: Cualquier información relacionada con una persona física identificada o identificable (interesado). Una persona física identificable es aquella que se puede identificar, directa o indirectamente. Hay dos tipos de interesados en los servicios empresariales: los usuarios finales de un inquilino y los usuarios externos a un inquilino.
Procesador: persona física o jurídica, entidad pública, agencia u otro organismo que procesa datos personales en nombre del poseedor. En los servicios empresariales, Microsoft actúa como procesador de datos, que procesa los datos de acuerdo con las instrucciones documentadas de un cliente para proporcionar los servicios en línea o profesionales. Microsoft solo procesará los datos en función de las instrucciones documentadas. El contrato de licencias por volumen, incluidos los Términos de protección de datos, y la forma en que un cliente configura y usa el servicio forman las instrucciones documentadas de un cliente.
En el diagrama siguiente se describe con más detalle la relación entre los controladores de datos, los procesadores de datos, los interesados y los datos personales. En los ejemplos siguientes, C1 es un cliente directo de un servicio empresarial y C2 es un cliente de C1.
Hay dos tipos de roles C1 y un tipo de rol C2:
- Un administrador de C1, que es un titular de la licencia, normalmente el administrador de inquilinos que se ha registrado para obtener una suscripción de servicio de Microsoft. Los administradores de C1 se consideran controladores de datos porque se suscriben a los servicios en nombre de sus empresas. Configuran las opciones y directivas del inquilino en los servicios, deciden quién obtiene una licencia en el servicio de Microsoft y asignan una licencia a ese usuario.
- Un usuario C1 es un usuario con licencia al que el administrador de inquilinos ha asignado una licencia. Normalmente, los usuarios de C1 son empleados de una empresa, a los que a menudo nos referimos como usuarios finales de la empresa. Los usuarios de C1 se consideran sujetos de datos.
- Los usuarios de C2 son los clientes de C1. Los usuarios de C2 son externos a una empresa. Por ejemplo, cuando un usuario de C1 invita a un socio comercial externo al sitio de SharePoint de Contoso, este asociado comercial es un usuario de C2. Los usuarios de C2 también se consideran sujetos de datos.
Categorías de datos procesados por Microsoft
Los datos que se usan a lo largo del ciclo de vida de una cuenta de cliente para proporcionar servicios profesionales o servicios en línea de Microsoft se encuentran dentro de una de cuatro categorías de datos independientes y distintas:
Los datos del cliente son todos los datos, incluidos los archivos de texto, sonido, video o imagen, y el software que el cliente proporciona a Microsoft o que se proporciona en nombre del cliente mediante el uso de los servicios en línea empresariales de Microsoft, excluidos los servicios profesionales de Microsoft. Incluye contenido del cliente, que son los datos que un cliente carga para su almacenamiento o procesamiento, y las aplicaciones que un cliente carga para su distribución a través de un servicio empresarial de Microsoft.
Por ejemplo, el contenido del cliente incluye el correo electrónico y los archivos adjuntos de Exchange Online, los informes de Power BI, el contenido del sitio de SharePoint Online o las conversaciones de mensajería instantánea.
Los datos generados por el servicio incluyen todos los datos "generados" o "derivados" por Microsoft a través de la operación de un servicio en línea. Microsoft agrega estos datos de nuestros servicios en línea y los usa para asegurarse de que el rendimiento, la seguridad, el escalado y otros servicios que afectan a la experiencia del cliente funcionan en los niveles que nuestros clientes requieren.
Por ejemplo, para comprender cómo aumentar la capacidad del centro de datos a medida que aumenta el uso de Microsoft Teams por parte de un cliente, procesamos los datos de registro de su uso de Teams. A continuación, se revisan los registros de las horas punta y se decide qué centros de datos se van a agregar para satisfacer esta capacidad.
Los datos de diagnóstico incluyen todos los datos "recopilados" u "obtenidos" del software que se instala localmente para su uso en relación con el servicio en línea empresarial de Microsoft. Se utiliza para ayudar a Microsoft a garantizar que el software cliente sea seguro y funcione correctamente.
Por ejemplo, Microsoft recopila información sobre cuánto tiempo se tarda en iniciar una aplicación, si un complemento se ha bloqueado y cuántas veces se ha intentado iniciar sesión. Los datos de diagnóstico también se pueden denominar datos de telemetría. No incluye nombres, direcciones de correo electrónico ni contenido de archivo.
Los datos de servicios profesionales se refieren a todos los datos proporcionados a Microsoft, o procesados por Microsoft, tras la autorización y a través de una interacción con Microsoft para obtener servicios profesionales. Los datos de servicios profesionales incluyen datos de soporte técnico que se proporcionan a Microsoft durante el soporte técnico para un servicio en línea.
Por ejemplo, los datos de servicios profesionales incluyen texto, sonido, vídeo, archivos de imagen o software proporcionados a Microsoft durante la solución de problemas.
Cuando un cliente usa Microsoft servicios en línea, se procesan tres de las cuatro categorías de datos anteriores: datos del cliente, datos generados por el servicio y datos de diagnóstico. Cuando un cliente usa servicios profesionales, solo procesamos los datos de los servicios profesionales y cualquier otro dato al que un cliente nos autorice a acceder para realizar el servicio solicitado. Los datos de cada una de estas cuatro categorías de datos también se usan para realizar un conjunto limitado de operaciones comerciales legítimas ( LBO) necesarias para admitir nuestra capacidad de proporcionar los servicios profesionales y de servicios en línea de Microsoft. Limitamos nuestro uso de datos personales para LBO utilizando solo datos seudonimizados que se originan a partir de datos de diagnóstico y agregamos datos personales antes de usarlos para LBO de modo que ya no se puedan vincular a los usuarios.
Microsoft actúa como un controlador de datos independiente en nuestro uso de datos para realizar LBO. El uso se limita a las siguientes funciones:
- facturación y administración de cuentas
- compensación (por ejemplo, calcular las comisión de empleados)
- informes internos y modelado (por ejemplo, previsión, ingresos, planeamiento de capacidad, estrategia de producto)
- combatir el fraude, el ciberdelincuencia o los ciberataques que pueden afectar a Microsoft o a los productos de Microsoft
- mejorar la funcionalidad básica de accesibilidad, privacidad o eficiencia energética
- informes financieros o cumplimiento de obligaciones legales