Ubicaciones de datos en la Unión Europea

Su información representa su organización

Microsoft reconoce la importancia de mantener la privacidad y la confidencialidad de los datos de su empresa. Sus datos le pertenecen a usted, y puede acceder a estos, modificarlos o eliminarlos en cualquier momento. Microsoft no usará sus datos sin su consentimiento y, cuando tengamos su consentimiento, usaremos sus datos para proporcionar solo los servicios que usted haya elegido. Si deja uno de nuestros servicios, nos aseguramos de que usted siga siendo el propietario de sus datos por medio de estándares y procesos estrictos para quitar los datos de nuestros sistemas.

Nota

Los datos del cliente (también conocidos como "sus datos" o "sus datos empresariales") representan todos los datos, incluidos los archivos de texto, sonido, vídeo o imágenes, así como el software que usted proporciona a Microsoft o que se proporciona en su nombre mediante el uso de los servicios en línea empresariales de Microsoft, a excepción de los Servicios profesionales de Microsoft. Esto incluye el contenido de cliente, que es la información que usted carga para el almacenamiento o procesamiento, y las aplicaciones que usted carga para la distribución mediante un servicio en la nube empresarial de Microsoft. Por ejemplo, el contenido de cliente incluye el correo electrónico y los datos adjuntos de Exchange Online, el contenido de sitio de SharePoint Online, o las conversaciones de mensajería instantánea.

Procesamiento y almacenamiento de datos

Al usar los servicios de Microsoft 365, debemos dar por supuesto que nuestros clientes empresariales desean almacenar y procesar los datos de su empresa de cerca. Siempre que sea posible, eso es exactamente lo que hacemos. Para mantener sus datos en los centros de datos más cercanos a usted, almacenamos sus datos en función de la ubicación de la empresa que usted proporciona cuando crea su espacio empresarial. Para elegir ubicaciones de almacenamiento adecuadas para las empresas de su organización, puede crear tantos espacios empresariales para la organización como desee.

Dónde se almacenan los datos en la Unión Europea

Tenemos ubicaciones para los centros de datos en Alemania y Francia, que le permiten almacenar los datos en su país si su empresa se encuentra ubicada allí. Nuestros centros de datos regionales de la Unión Europea se encuentran en Austria, Finlandia, Francia, Irlanda y Países Bajos. Los datos de los siguientes servicios se encontrarán en las siguientes ubicaciones en función de la dirección de facturación que elija:

Nombre del servicio Ubicación para los espacios empresariales creados con una dirección de facturación en Francia Ubicación para los espacios empresariales creados con una dirección de facturación en Alemania Ubicación para los espacios empresariales creados con una dirección de facturación en los demás países o regiones de la Unión Europea
Exchange Online Francia Alemania Unión Europea
OneDrive para la Empresa Francia Alemania Unión Europea
SharePoint Online Francia Alemania Unión Europea
Skype Empresarial Unión Europea Unión Europea Unión Europea
Microsoft Teams Francia Alemania Unión Europea
Office Online y Office Mobile Francia Alemania Unión Europea
Exchange Online Protection Francia Alemania Unión Europea
Intune Unión Europea Unión Europea Unión Europea
MyAnalytics Francia Alemania Unión Europea
Planner Unión Europea Unión Europea Unión Europea
Yammer Unión Europea Unión Europea Unión Europea
Servicios de OneNote Francia Alemania Unión Europea
Stream Unión Europea Unión Europea Unión Europea
Whiteboard Unión Europea Unión Europea Unión Europea
Formularios Unión Europea Unión Europea Unión Europea

Nota

Si tiene una suscripción a Microsoft Office 365 para el ámbito educativo con una dirección de facturación en Francia o Alemania, sus datos se pueden almacenar en nuestros centros de datos regionales de la Unión Europea. Para conocer las ubicaciones de los datos del espacio empresarial fuera de la UE, consulte Dónde se almacenan los datos de sus clientes de Microsoft 365.

Dónde se procesan los datos en la Unión Europea

Cuando usted comienza a usar cualquiera de los servicios anteriores, los cálculos necesarios para proporcionar el servicio para sus datos almacenados en uno de los centros de datos regionales europeos (o en su país) tendrán lugar dentro de esos mismos límites geográficos, a menos que se necesite una transferencia de datos temporal para realizar el cálculo en un centro de datos de Microsoft que se encuentre más lejos.

Si se requiere una transferencia temporal, emplearemos siempre un cifrado de última generación para la transferencia, y sus datos siempre volverán, inmediatamente después del proceso, a la ubicación de almacenamiento de datos que haya elegido. Confiamos en nuestro cumplimiento de la legislación europea a través de las cláusulas contractuales estándares (SCCs) para estas transferencias temporales, junto con nuestras medidas complementarias para asegurar que los datos estén protegidos.

Para obtener más información, consulte Cláusulas modelo de la Unión Europea.

Nota

Los datos del cliente de Sway y Workplace Analytics se almacenarán y calcularán en Estados Unidos en caso decida usar estos servicios.

Nota

Los servicios de Microsoft 365 pueden consultar y almacenar partes de información de datos de identidad o directorio de espacios empresariales en regiones que no sean la Unión Europea, en caso de que sea necesario para facilitar determinados escenarios. Por ejemplo, en escenarios de enrutamiento de correo electrónico entre regiones, enrutamiento de llamada, y autenticación, los sistemas de Microsoft 365 podrían necesitar cierta información acerca de los destinatarios en la Unión Europea para redirigir estas solicitudes correctamente. Los sistemas de Microsoft 365 también dependen de Azure Active Directory para las funciones de identidad y autenticación. Para obtener más información, consulte Almacenamiento de datos de identidad para clientes europeos en Azure Active Directory.

Cómo Microsoft protege sus datos

Medidas de seguridad

Microsoft protege sus datos con el uso de varios niveles de protocolos de seguridad y de cifrado. Obtenga información general sobre las funcionalidades de seguridad de datos de Microsoft en el artículo sobre cifrado de Microsoft 365.

De forma predeterminada, las claves administradas por Microsoft protegen los datos del cliente. Los datos que se conservan en cualquier medio físico siempre se cifran con protocolos de cifrado compatibles con FIPS 140-2. También puede emplear las claves administradas por el cliente (CMK), el cifrado doble, o los módulos de seguridad de hardware (HSM) para una mayor protección de datos.

Además, Microsoft utiliza por defecto un protocolo de seguridad de la capa de transporte (TLS) para cifrar los datos cuando viajan entre los servicios en la nube y los clientes. Los servicios Microsoft negocian una conexión TLS con los sistemas de clientes que se conectan a los servicios de Microsoft 365.

Para evitar el acceso físico no autorizado a los centros de datos, empleamos procesos y controles operacionales rigurosos que incluyen una vigilancia de vídeo 24/7, personal y procesos de seguridad con entrenamiento previo, y controles de acceso multifactor biométricos o tarjeta inteligente. Al final de su ciclo de vida, los discos de datos se rompen y se destruyen. Si una unidad de disco usada para almacenamiento sufre un error de hardware o llega al final de su ciclo de vida, se eliminará o destruirá de forma segura. Los datos de la unidad se sobrescriben por completo para asegurar que los datos no se puedan recuperar de ningún modo. Al retirar estos dispositivos, se romperán y destruirán, de acuerdo con las directrices para la limpieza de medios NIST SP 800-88 R1. Los registros de la destrucción se retienen y se revisan como parte del proceso de auditoria y cumplimiento de Microsoft. Todos los servicios de Microsoft 365 usan un almacenamiento de medios y servicios de administración de eliminación aprobados.

Controles técnicos

Además de las protecciones físicas y tecnológicas, Microsoft toma medidas fuertes para ayudar a proteger los datos del cliente del acceso no autorizado por parte de personal y subcontratistas de Microsoft. El acceso a los datos del cliente por parte del personal de operaciones y soporte técnico de Microsoft está denegado de forma predeterminada. Casi todas las operaciones de servicio que realiza Microsoft son totalmente automatizadas, y la participación humana está sumamente controlada y separada de los datos del cliente.

Solo en ocasiones excepcionales un, ingeniero de Microsoft podría necesitar el acceso a los datos del cliente. Por lo general, solo es necesario si usted solicita la asistencia de Microsoft para resolver un problema de cliente. El acceso a los datos del cliente está extremadamente restringido por controles de acceso basados en roles, autenticación multifactor, minimización de datos y otros controles. Todo el acceso a los datos del cliente está registrado de manera estricta, y tanto Microsoft como otras empresas realizan auditorías de forma periódica (así como auditorías de prueba) para dar fe de que cualquier acceso es adecuado.

Los clientes pueden usar claves administradas por el cliente para, de forma adicional, evitar que los datos se puedan leer en caso de un acceso no autorizado. Tanto el cifrado del lado del servidor como el del lado del cliente pueden depender de claves administradas por el cliente o claves proporcionadas por el cliente. En cualquier caso, Microsoft no tendría acceso a las claves de cifrado, y no puede descifrar los datos. Una auditoría SOC realizada por un auditor acreditado por el AICPA dos veces al año para verificar la efectividad de nuestros controles de seguridad en el ámbito de auditoría. El informe de atestiguamiento SOC 2 de tipo 2 publicado por el auditor describe en qué circunstancias y de qué manera se puede tener acceso a los datos del cliente.

Además de almacenar y procesar sus datos al usar los servicios en línea, Microsoft genera datos de servicio para supervisar el estado del sistema y realizar operaciones de servicio, como la solución de problemas. Como medida de protección de la privacidad, Microsoft genera y se apoya en identificadores con seudónimos que se generan a partir de los datos del servicio, los cuales pueden distinguir entre los usuarios sin identificar a los usuarios reales. Los identificadores con seudónimos no identifican directamente a una persona, y la información que permite asignar los identificadores con seudónimos a los usuarios reales está protegida, ya que forma parte de sus datos.

Para obtener más información, consulte Quién puede tener acceso a los datos y bajo qué términos, y acerca de losSubprocesadores y privacidad de los datos.

Cómo controla Microsoft las solicitudes de gobierno

Si un gobierno necesita los datos del cliente, debe seguir los procesos jurídicos aplicables. Microsoft debe recibir una garantía u orden judicial que solicite contenido, o una citación para información del suscriptor u otros datos sin contenido.

  • Todas las solicitudes deben dirigirse a cuentas e identificadores específicos.
  • El equipo de cumplimiento legal de Microsoft revisa todas las solicitudes para asegurarse de que son válidas, rechaza las que no son válidas, y solo proporciona los datos que se especifican.
  • Si Microsoft está obligado por la ley a divulgar los datos del cliente, se le notificará inmediatamente y se le proporcionará una copia de la solicitud, a menos que se le prohíba legalmente a Microsoft hacerlo.
  • Microsoft realiza una revisión legal local de cada solicitud que recibe para compararla con las leyes y estándares locales. Microsoft también revisa de manera periódica sus procesos de evaluación en todo el mundo para asegurar que se siguen los procedimientos judiciales locales y que se aplique la declaración global de derechos humanos.

Para obtener más información sobre el compromiso de Microsoft para impugnar órdenes, en línea con el Reglamento general de protección de datos de la Unión Europea, consulte los Nuevos pasos para defender sus datos.

Cuando los gobiernos o los organismos responsables de la legislación realicen una solicitud legal para obtener los datos del cliente, Microsoft se compromete a la transparencia y limita lo que se revela. Dos veces al año, publicamos la cantidad de demandas legales de datos del cliente que recibimos de los organismos responsables de la legislación de todo el mundo. Consulte Informe de solicitudes de cumplimiento de la ley Este informe no revela las especificaciones de ninguna demanda en particular, incluido el cliente que atraviesa esta situación. Dos veces al año, también publicamos datos sobre las demandas legales que recibimos del gobierno de los Estados Unidos. Consulte el Informe de órdenes de Seguridad Nacional de los Estados Unidos para ver el informe más reciente.

Para obtener más información, consulte Preguntas más frecuentes sobre las solicitudes de gobierno y cumplimiento de la ley, incluidas las preguntas sobre el CLOUD Act.

Recursos adicionales