Descripción del ciclo de vida de los datos: recopilación
Cuando los clientes se suscriben a Microsoft Online Services, es importante que comprendan los términos de uso que se les aplican. Dado que los requisitos normativos y de privacidad difieren en función de los límites geográficos y del sector, es importante que los clientes determinen por sí mismos si el servicio satisface sus necesidades de uso concretas.
Los términos de uso que Microsoft tiene con sus clientes son las siguientes:
- Términos de Online Services (OST): compromisos contractuales estándar con clientes comerciales que usan Online Services, donde Microsoft actúa como procesador de datos
- Anexo de protección de datos (DPA) de Online Services: obligaciones respectivas en relación con el procesamiento y el uso de tipos de datos que existen en nuestro servicio
Los DPA y OST estaban originalmente en un documento hasta enero de 2020, cuando los dividimos para facilitar a nuestros clientes la búsqueda de términos de privacidad de datos. Microsoft trabaja con los organismos reguladores y los clientes comerciales para obtener comentarios sobre las leyes de protección de datos y se ajusta a las distintas normativas a medida que cambian.
Notificación de privacidad, consentimiento y taxonomía de datos
El aviso y el consentimiento son principios fundamentales de las leyes de privacidad de todo el mundo. Microsoft mantiene un Panel de gobernanza de datos del cliente (CDGB) que administra la taxonomía de datos del cliente (taxonomía) y el marco de uso de datos del cliente (marco), un conjunto de reglas de toda la empresa para el aviso, el consentimiento y los controles de usuario. La taxonomía define categorías de tipos de datos y usos. El marco especifica el aviso, el consentimiento y los controles de usuario posteriores a la recopilación necesarios para el uso de cada tipo de datos. Microsoft también usa revisiones de privacidad, incluido un análisis de interés legítimo para respaldar este proceso. Se pueden aplicar requisitos adicionales a situaciones específicas (por ejemplo, puede ser necesario un consentimiento parental para recopilar datos de un menor).
Tratamiento y uso de datos
Los estándares de control de datos proporcionan instrucciones sobre cómo administrar cada tipo de clasificación de datos dentro de actividades o escenarios específicos, incluido un conjunto de requisitos colectivos para cumplir las obligaciones descritas en OST/DPA y diversos estándares y reglamentos de auditoría. Estos estándares se usan normalmente cuando se compilan nuevas características o cuando se ejecuta un servicio, y pueden ser específicos de ese servicio, como Microsoft 365.
Para cumplir con las leyes de privacidad aplicables en líneas generales, limitamos estrictamente el uso de todos los datos personales dentro de las cuatro categorías de datos procesados. Para proteger la confidencialidad de los datos empresariales de los clientes, limitamos aún más el uso de todos los datos de clientes y todos los datos de servicios profesionales. No accedemos al contenido de los datos del cliente para determinar lo que es personal o no. En su lugar, damos por hecho que todos los datos de clientes y todos los datos de servicios profesionales contienen datos personales. A continuación se muestra una representación visual de los tipos de datos definidos en la DPA. El cuadro azul ayuda a ilustrar que todos los datos personales se procesan como parte de uno de los otros tipos de datos (los cuales también incluyen datos no personales). Los datos de soporte técnico son un subconjunto de datos de servicios profesionales.
Los datos personales dentro de los datos de diagnóstico y los datos generados por el servicio se encuentran principalmente en forma de números únicos generados por el equipo que se pueden vincular a los usuarios.
Transferencias de datos internacionales
Los datos del cliente y los datos personales que Microsoft procesa en nombre de un cliente pueden transferirse y almacenarse y procesarse en el Estados Unidos o cualquier otro país o región en el que microsoft o sus subprocesadores operan. Si un cliente quiere un conocimiento más profundo por servicio, es beneficioso revisar el Anexo de protección de datos.
Microsoft cumple con las leyes internacionales de protección de datos con respecto a las transferencias internacionales de datos de clientes. Por ejemplo, las cláusulas tipo de la UE regulan la transferencia de datos personales de los clientes de la UE a países o regiones fuera del Espacio Económico Europeo (EEE). Las cláusulas contractuales estándar de la UE de Microsoft proporcionan garantías contractuales específicas en torno a las transferencias de datos personales para los servicios cubiertos que los reguladores de privacidad de Europa han determinado que cumplen los estándares de la UE para las transferencias internacionales de datos. Las cláusulas modelo de la UE también proporcionan un mecanismo válido para la transferencia de datos personales desde Suiza y el Reino Unido.