Evaluaciones de impacto en la protección de datos personales: Guía para poseedores de los datos que usen Microsoft Azure

El Reglamento general de protección de datos (RGPD) exige a los responsables de los datos realizar una Evaluación del impacto sobre la protección de datos (EIPD) en operaciones de tratamiento que "sea probable que tengan un alto riesgo para los derechos y libertades de las personas físicas". No hay ningún aspecto inherente en Microsoft Azure que requiera al responsable de los datos que use dicho servicio realizar una EIPD. El requisito de llevar a cabo una EIPD dependerá en cambio de los detalles y el contexto de cómo el responsable de los datos implementa, configura y usa Microsoft Azure. En cualquier caso, una EIPD debe comenzar al principio de la vida de un proyecto y ejecutarse en paralelo al proceso de planeamiento y desarrollo.

La finalidad de este documento es proporcionar a los poseedores de los datos información sobre Microsoft Azure que les permitirá determinar si se necesita una EIPD y, en ese caso, qué detalles incluir.

Nota

Microsoft no proporciona asesoría legal en este artículo. Este artículo tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad —o responsables de protección de datos (DPO) cuando se designen— o asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con el uso de Microsoft Azure o cualquier otro servicio en línea de Microsoft.

Parte 1: Determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un poseedor de los datos cree una Evaluación de impacto en la protección de datos (EIPD) "cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas". Estipula aún más los factores específicos que indicarían dicho alto riesgo, que se explican en la tabla siguiente. Al determinar si necesita un EIPD, el poseedor de los datos necesita tener en cuenta estos factores, además de otros factores relevantes, en virtud de las implementaciones y los usos específicos de Microsoft Azure realizados por el poseedor.

Factor de alto riesgo Información relevante sobre Microsoft Azure
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el tratamiento automático, incluida la generación de perfiles. Asimismo, sobre la base de esta evaluación, se basan decisiones que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física. Microsoft Azure no ofrece funciones para realizar determinadas tareas automatizadas de procesamiento de datos.

Sin embargo, como el Azure es un servicio altamente personalizable, un controlador de datos podría configurarlo para ser utilizado para dicho procesamiento. Los controladores deben hacer esta determinación basándose en su uso de Azure.
El procesamiento a gran escala de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales. Microsoft Azure no está diseñado para procesar categorías especiales de datos personales, y el uso de Azure no aumenta el riesgo inherente del procesamiento de un controlador.

Sin embargo, un controlador de datos podría utilizar Microsoft Azure para procesar las categorías especiales de datos enumeradas. Microsoft Azure es un servicio altamente personalizable que permite al cliente rastrear o procesar cualquier tipo de datos, incluyendo categorías especiales de datos personales. Pero como procesador de datos, Microsoft no tiene control sobre dicho uso y tiene poco o ningún conocimiento sobre el mismo. Corresponde al responsable del tratamiento de datos determinar los usos apropiados de los datos del responsable.
Supervisión sistemática de un área accesible públicamente a gran escala. Microsoft Azure no se diseñó para realizar o facilitar dicha supervisión.

Sin embargo, un controlador de datos podría utilizar el Azure para procesar los datos recogidos mediante esa vigilancia. Microsoft Azure es un servicio altamente personalizable que permite al cliente rastrear o procesar de otra manera cualquier tipo de datos, incluyendo datos de monitoreo. Pero como procesador de datos, Microsoft no tiene control sobre tal uso y tiene poco o ningún conocimiento de tal uso. Corresponde al controlador de datos determinar los usos apropiados de los datos del controlador de datos.

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una evaluación del impacto sobre la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En una descripción sistemática de una EIPD completa, podrían incluirse factores como el tipo de los datos tratados, durante cuánto tiempo se conservarán, dónde se encuentran los datos y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
  • una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
  • las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con este Reglamento, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.

El cuadro que figura a continuación contiene información sobre Microsoft Azure que es pertinente para cada uno de esos elementos. Al igual que en la Parte 1, los responsables del tratamiento de datos deben considerar los detalles que figuran a continuación, junto con cualquier otro factor pertinente, en el contexto de la implementación o implementaciones específicas del controlador y el uso o usos de Microsoft Azure.

Elementos de una EIPD Información relevante sobre Microsoft Azure
Finalidades del procesamiento Las finalidades del procesamiento de los datos con Microsoft Azure las determina el poseedor que lo implementa, configura y usa.

Como se especifica en los Términos de los servicios en línea y Anexo sobre protección de datos, Microsoft, como procesador de datos, procesa los datos del cliente para proporcionarle los servicios en línea de acuerdo con las instrucciones documentadas del cliente.

Como se detalla en los estándaresTérminos de servicios en línea y Anexos de protección de datos, Microsoft también utiliza los datos personales para apoyar un conjunto limitado de operaciones comerciales legítimas que consisten en: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, cálculo de comisiones de empleados e incentivos de socios); (3) generación de informes y modelos internos (por ejemplo, previsiones, ingresos, planificación de capacidad, estrategia de productos); (4) lucha contra el fraude, los delitos cibernéticos o los ataques cibernéticos que pueden afectar a Microsoft o a los productos de Microsoft; (5) mejora de la funcionalidad básica de accesibilidad, privacidad o eficiencia energética; y (6) generación de informes financieros y cumplimiento de las obligaciones legales (con sujeción a las limitaciones de divulgación de los datos de los clientes que se describen en los Términos de servicio en línea).

Microsoft es el controlador del procesamiento de datos personales para apoyar estas operaciones comerciales legítimas específicas. Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas, eliminando la capacidad de Microsoft de identificar a personas específicas, y utiliza los datos personales en la forma menos identificable que permita el procesamiento necesario para las operaciones comerciales legítimas.

Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares.
Categorías de datos personales procesados *Datos de clientes: todos los datos, (incluidos todos los archivos de texto, sonido, vídeo o imagen, y software) proporcionados a Microsoft por un cliente (o en su representación) mediante el uso del servicio empresarial. Dentro de los datos de clientes, se incluye (1) información de identificación personal de los usuarios finales (por ejemplo, nombres de usuario e información de contacto en Azure Active Directory) y contenido de cliente que el cliente carga o crea en servicios específicos (por ejemplo, el contenido de cliente en una cuenta de Azure Storage, contenido de cliente de Azure SQL Database, o la imagen de la máquina virtual de un cliente en Azure Virtual Machines).

Datos generados por el servicio: registros y datos relacionados generados por Microsoft que ayudan a Microsoft a proporcionar servicios empresariales a los usuarios. Los registros generados por el servicio contienen principalmente datos anonimizados parcialmente, asociados con identificadores únicos generados por el sistema que no se pueden usar para identificar a una persona, pero que se usan para prestar servicios empresariales a los usuarios. Estos registros generados por el servicio también pueden contener información identificable sobre los usuarios finales, como un nombre de usuario.

Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) a través de una interacción con Microsoft para obtener soporte técnico para los servicios en línea.

Para obtener más información sobre los datos procesados por Azure, consulte los Términos de los Servicios en Línea, incluidos el Acuerdo de procesamiento de datos, así como el Centro de confianza de Microsoft.

Retención de datos Microsoft conservará y procesará los datos del cliente mientras dure el derecho del cliente a usar el Servicio en línea y hasta que el cliente recupere todos los datos del cliente o los elimine de acuerdo con los términos de la OST. En todo momento durante el plazo de la suscripción del cliente, este tendrá la posibilidad de acceder y extraer los datos del cliente almacenados en cada servicio en línea. Excepto en el caso de las pruebas gratuitas y los servicios LinkedIn, Microsoft conservará los datos del cliente almacenados en el servicio en línea en una cuenta de función limitada durante 90 días tras el vencimiento o la finalización de la suscripción del cliente para que éste pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft deshabilitará la cuenta del cliente y eliminará los datos del mismo. El cliente puede eliminar datos personales en función de una solicitud del titular de datos mediante las funciones que se describen en la Documentación RGPD de solicitud de sujeto de datos de Azure.
Ubicación y transferencias de datos personales Los clientes tienen la posibilidad de proporcionar datos de clientes en reposo dentro deregiones geográficas específicas, sujeto a ciertas excepciones establecidas en el OST. Detalles adicionales sobre el despliegue de servicios y la residencia de los datos también se puede encontrar en el Anexo de protección de datos (DPA) de Microsoft, en los Términos de servicios en Línea (OST) y en la página web Azure Global Infrastructure.

En el caso de los datos personales procedentes del Espacio económico europeo, de Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como subprocesadores para facilitar funciones como soporte técnico y atención al cliente, mantenimiento de servicios y otras operaciones. Todos los subcontratistas a los que Microsoft transfiere datos de clientes, datos de soporte o datos personales firman contratos por escrito con Microsoft que proporcionan igual o mayor protección que los Términos de protección de datos de los Términos de servicios en línea. Los subprocesadores de terceros con los que se comparten los datos de clientes de los servicios en línea básicos de Microsoft se incluyen en la lista de subcontratistas de servicios en línea. Todos los subprocesadores de terceros que pueden acceder a los datos de soporte (incluidos los datos de clientes que los clientes eligen compartir durante sus interacciones de soporte) se incluyen en la lista de contratistas de soporte comercial de Microsoft. 
Derechos del titular de los datos (DSR) Al operar como procesador, Microsoft facilita al cliente (también conocido como el responsable de los datos) los datos personales de los titulares de los datos y la capacidad de cumplir con las solicitudes de los interesados cuando estos ejerzan sus derechos según el RGPD. Microsoft hace esto de forma coherente con la función del producto y nuestro rol como encargado de los datos. Si Microsoft recibe una solicitud de titulares de los datos de un cliente para ejercer uno o más de sus derechos según el RGPD, redirigiremos la solicitud al responsable de los datos.

La Guía de solicitudes de los interesados de datos en Azure proporciona una descripción al controlador de datos sobre cómo apoyar los derechos de los sujetos de datos utilizando las capacidades en Azure.

Las solicitudes de los interesados de datos para ejercer derechos bajo la GDPR para datos personales procesados para apoyar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft.

Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas y no está en condiciones de identificar los datos personales de un individuo específico en el agregado. Esta acción reduce significativamente el riesgo para la privacidad del individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.

En la Documentación del RGPD de solicitudes del titular de los datos de Azure, se proporciona una descripción de cómo admitir derechos del titular de los datos con las funciones presentes en Azure.
Una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines Esa evaluación dependerá de las necesidades y los propósitos de procesamiento del controlador de datos.

Microsoft toma medidas como la anonimización o agregación de los datos personales utilizados por Microsoft para apoyar las operaciones comerciales legítimas con el fin de respaldar la prestación de los servicios, minimizando el riesgo de dicho procesamiento para los titulares de los datos que utilizan el servicio.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios al poseedor de los datos. Microsoft realiza este compromiso en el OST.
Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos Los riesgos más importantes para los derechos y libertades de los titulares de los datos derivados del uso de Microsoft Azure será una función de cómo y en qué contexto el poseedor de los datos implementa, configura y usa Microsoft Azure.

Pero, como sucede con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de acceso no autorizado o divulgación por error. Las medidas que toma Microsoft para solucionar dichos riesgos se explican en el OST, como se describe con más detalle más adelante en este artículo.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a proteger la seguridad de los datos de clientes. Las medidas de seguridad que Microsoft toma se describen con detalle en el OST.

Microsoft cumple con estrictas normas de seguridad y metodologías de protección de datos líderes del sector y mejora de forma continuada sus sistemas para enfrentarse a las nuevas amenazas. Para obtener más información sobre el gobierno de la nube y procedimientos de privacidad, vea la página Privacidad y gobierno de la nube del Centro de confianza.

Microsoft toma medidas organizativas y técnicas adecuadas y razonables para proteger los datos personales que procesa. Entre estas medidas, se incluyen los procedimientos y directivas de privacidad internos, los compromisos contractuales, y las certificaciones de normas regionales e internacionales. Para obtener más información, vea la página Normas de privacidad del Centro de confianza.

Microsoft proporciona una seguridad importante y transparente para el cliente, y en la documentación de privacidad se explica el uso y tratamiento que realiza Microsoft de los datos personales. Se recomienda a los clientes ponerse en contacto con Microsoft si tienen alguna pregunta.

Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican a los encargados de los datos, como evaluaciones de impacto en la protección de datos personales y una conservación de registros.

Cuando Microsoft procesa datos personales para sus operaciones comerciales legítimas, cumple con las obligaciones de la GDPR que se aplican a los controladores de datos.

Más información