Regulación de la información sujeta a la regulación de privacidad de datosGovern information subject to data privacy regulation

Los controles de gobierno de la información se pueden usar en su entorno para ayudar a satisfacer las necesidades de cumplimiento de privacidad de datos, incluido un número específico del Reglamento general de protección de datos (RGPD), HIPAA-HITECH (la ley de privacidad del cuidado de la salud de los Estados Unidos), la Ley de protección de consumidores de California (CCPA) y la Ley de protección de datos de Brasil (LGPD).Information governance controls can be employed in your environment to help address data privacy compliance needs, including a number that are specific to General Data Protection Regulation (GDPR), HIPAA-HITECH (the United States health care privacy act), California Consumer Protection Act (CCPA), and the Brazil Data Protection Act (LGPD).

Estos controles están principalmente en las siguientes áreas de solución:These controls primarily fall into the following solution areas:

  • Directivas de retenciónRetention policies
  • Etiquetas de retenciónRetention labels
  • Administración de registrosRecords management

Normativas de privacidad de datos que afectan a los controles de gobierno de la informaciónData privacy regulations impacting information governance controls

Esta es una lista de ejemplo de las normativas de privacidad de datos que pueden estar relacionadas con los controles de gobierno de la información:Here is a sample listing of data privacy regulations that may relate to information governance controls:

  • Artículo del RGPD (13)(2)(a)GDPR Article (13)(2)(a)
  • Artículo del RGPD (5)(1)(f)GDPR Article (5)(1)(f)
  • HIPAA-HITECH (45 CFR 164.312(c)(2))HIPAA-HITECH (45 CFR 164.312(c)(2))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(i))HIPAA-HITECH (45 CFR 164.316(b)(1)(i))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))
  • Artículo 46 de LGPDLGPD Article 46

Para obtener más información sobre estas normativas,vea el artículo evaluar los riesgos de privacidad de datos e identificar información confidencial.For more information on these regulations, see the assess data privacy risks and identify sensitive information article.

Para el gobierno de la información, las normativas de privacidad de datos suelen llamar a lo siguiente:For information governance, data privacy regulations typically call for the following:

  • Debe emplear un esquema técnico para la retención y eliminación de datos personales almacenados en Microsoft 365.You should employ a technical scheme for retention and deletion for personal data stored in Microsoft 365.
  • Si va a almacenar datos personales, informe al interesado de cuánto tiempo se almacenarán los datos, que es una práctica estándar ahora en sistemas front-end web.If you're going to store personal data, inform the subject of how long the data will be stored, which is a standard practice now on front-end web systems.
  • Los datos personales deben protegerse contra el procesamiento accidental, la pérdida o la alteración mediante métodos verificables.Personal data should be protected against accidental processing, loss, or alteration using verifiable methods.
  • Cualquier acción ejecutada con datos personales debe documentarse y esa documentación debe conservarse durante un período especificado.Any action executed against personal data should be documented and that documentation should be retained for a specified period.

Dado que las normativas de privacidad de datos no son muy específicas en lo que respecta a la retención y eliminación de datos, es necesario tener en cuenta otros factores que pueden dictar directrices de gobierno de la información para la información personal almacenada en su suscripción Microsoft 365 datos.Because the data privacy regulations are not very specific when it comes to data retention and deletion, other factors need to be taken into consideration that may dictate information governance guidelines for personal information stored in your Microsoft 365 subscription. Estos son algunos ejemplos:Here are a few examples:

  • El envejecimiento de las cuentas de consumidor después de 5 años de inactividad y requiere la eliminación o anonimización de los datos de la cuenta después de ese punto, lo que requiere una orquestación entre el sistema que almacena los datos y los flujos de trabajo relacionados con las notificaciones y otras automatizacións.Aging out consumer accounts after 5 years of inactivity and requires deletion or anonymization of account data after that point, requiring orchestration between the system storing the data and workflows related to notifications and other automation.
  • Configurar reglas para mantener las directivas y procedimientos relacionados con el RGPD durante tres años después de su sustitución, lo que se alinea con la programación de retención de la organización para las directivas y procedimientos.Configuring rules for keeping policies and procedures related to GDPR around for three years after they've been superseded, which aligns with the organization's retention schedule for policies and procedures.
  • Mantener una suscripción independiente para comunicarse con los consumidores a través de su organización de soporte técnico.Maintaining a separate subscription for communicating with consumers through its support organization. Todas las comunicaciones de correo electrónico se conservaron y eliminaron después de dos semanas para reducir cualquier acumulación de la deuda de privacidad en el sistema.All email communications were retained and deleted after two weeks to reduce any privacy debt buildup in the system.

Una pregunta clave para responder es:A key question to answer is:

  • ¿Durante cuánto tiempo es necesario mantener la información que contiene datos personales por motivos empresariales válidos para evitar prácticas de "mantenerla para siempre"?How long does information containing personal data need to be kept around for valid business reasons to avoid "keep it forever" practices? Esto debe equilibrarse con las necesidades de retención para la continuidad empresarial.This must be balanced with retention needs for business continuity.

Independientemente de los motivos legales y empresariales para mantener la información personal o eliminarla, Microsoft proporciona una serie de capacidades para implementar el esquema de gobierno de datos en Microsoft 365.Regardless of the legal and business reasons for keeping personal information around or deleting it, Microsoft provides a number of capabilities to implement your data governance scheme in Microsoft 365.

Administración del gobierno de la información en Microsoft 365Managing information governance in Microsoft 365

Para empezar, vea Manage information governance and Data Retention, Deletion and Destruction in Microsoft 365.To begin, see Manage information governance and Data Retention, Deletion and Destruction in Microsoft 365.

Desarrollar programaciones de retención de datos para contenedores, correo electrónico y contenidoDevelop data retention schedules for containers, email, and content

Tenga en cuenta lo siguiente:Keep the following in mind:

  • Establecer una programación de retención de datos para tipos de información definidos debe considerarse un requisito previo para implementar cualquier esquema de retención o eliminación.Establishing a data retention schedule for defined information types should be considered a prerequisite to implementing any retention or deletion scheme.

  • Dado el número de tipos de información que la mayoría de las organizaciones consideran importantes y las programaciones de retención de registros grandes correspondientes que van con ellos, la implementación de una estrategia de administración de registros y retención de datos requiere planeación.Given the number of information types that most organizations consider important and the corresponding large records retention schedules that go along with them, implementing a data retention and records management strategy requires planning.

  • La clave para establecer una estrategia de gobierno de datos eficaz de este tipo es centrarse en las funciones empresariales de mayor prioridad y los tipos de información que requieren una administración más formal.The key to establishing an effective data governance strategy of this type is to focus on the highest priority business functions and information types that require more formal management. Algunos ejemplos son contratos legales, estados financieros y documentación de cumplimiento normativo.Examples are legal contracts, financial statements, and regulatory compliance documentation. Intente evitar tener una programación de retención independiente para cada tipo de información.Try to avoid having a separate retention schedule for every single information type. Intente usar las categorías generales tanto como sea posible, por ejemplo, con programaciones de retención de 7 años para contenido empresarial general.Try to utilize general categories as much as possible, for example, with retention schedules of 7 years for general business content.

  • Una vez que se conozcan mejor los tipos de información personal de su entorno, establezca programaciones de retención y eliminación para este tipo de contenido y ajuste la arquitectura de la información para facilitar el gobierno de este tipo de información.Once the personal information types in your environment are better known, establish retention and deletion schedules for this type of content and adjust your information architecture to make governance of this sort of information easier. Por ejemplo, aísla información personal en sitios, bibliotecas o carpetas independientes con acceso controlado.For example, isolate personal information in separate sites, libraries, or folders with controlled access.

Directivas de retención y etiquetas de retenciónRetention policies and retention labels

Use directivas de retención y etiquetas de retención para retener o eliminar contenido Microsoft 365 que contiene o se espera que contenga datos personales.Use retention policies and retention labels to retain or delete content in Microsoft 365 that contains or is expected to contain personal data.

Administración de registrosRecords management

Use etiquetas de retención que declaren el contenido un registro para implementar una solución de administración de registros para los datos de Microsoft 365.Use retention labels that declare content a record to implement a records management solution for data in Microsoft 365.

Para la privacidad de los datos, las solicitudes de interesados (DSR) recibidas por el departamento legal se declaran un registro y se pueden almacenar indefinidamente o eliminarse con pruebas, para cumplir con las especificaciones de retención de actividades reglamentarias.For data privacy, data subject requests (DSRs) received by the legal department are declared a record and can be stored indefinitely or disposed of with proof, to adhere to regulatory activity retention specifications.