Evaluaciones de impacto en la protección de datos personales: Guía para poseedores de los datos que usen Dynamics 365

El Reglamento general de protección de datos (RGPD) exige a los responsables de los datos realizar una evaluación del impacto de la protección de datos (EIPD) en el caso de operaciones de tratamiento que tengan "probabilidad de suponer un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente en Dynamics 365 que necesariamente exija al responsable de los datos que use dicho servicio realizar una EIPD. El requisito de llevar a cabo una EIPD dependerá en cambio de los detalles y el contexto de cómo el responsable de los datos implementa, configura y usa Dynamics 365. En cualquier caso, una EIPD debe comenzar al principio de la vida de un proyecto y ejecutarse en paralelo al proceso de planeamiento y desarrollo.

La finalidad de este documento es proporcionar a los poseedores de los datos información sobre Dynamics 365 que les permitirá determinar si se necesita un EIPD y, en ese caso, qué detalles incluir.

Nota

Microsoft no proporciona asesoría legal en este artículo. Este artículo tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad —o responsables de protección de datos (DPO) cuando se designen— o asesores legales para determinar la necesidad y el contenido de cualquier EIPD relacionada con el uso de Microsoft Azure o cualquier otro servicio en línea de Microsoft.

Parte 1: determinar si se necesita una EIPD

El artículo 35 de la GDPR exige que el responsable del tratamiento de datos cree una evaluación del impacto de la protección de datos "en la que un tipo de tratamiento, en particular utilizando nuevas tecnologías y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, es probable que dé lugar a un alto riesgo para los derechos y libertades de las personas físicas". Además, se exponen los factores particulares que indicarían ese alto riesgo, que se examinan en el cuadro siguiente: Para determinar si se necesita una DPIA, un controlador de datos debe considerar estos factores, junto con cualquier otro factor pertinente, a la luz de la aplicación o aplicaciones específicas del controlador y el uso o usos de Dynamics 365.

Factor de riesgo Información relevante sobre Dynamics 365
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el procesamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física; Dynamics 365 realiza tareas automatizadas de procesamiento de datos, como la puntuación de clientes potenciales u oportunidades (por ejemplo, para predecir con qué probabilidad puede producirse una venta). Pero no se diseñó para realizar el procesamiento de las decisiones en que se basan y que producen efectos jurídicos o efectos similares importantes en las personas.

Pero, como Dynamics 365 es un servicio altamente personalizable, un poseedor de los datos podría configurarlo para usarlo para tal procesamiento, como la puntuación de decisiones de empleo o solicitudes de crédito.
El procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelen un origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos con la finalidad de identificar de forma exclusiva a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física), o de datos personales relacionados con delitos y condenas penales; Dynamics 365 no se diseñó para procesar categorías especiales de datos personales.

Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión. Por ejemplo, Dynamics 365 ofrece plantillas del sector de la salud que podrían usarse para procesar datos personales asociados con un estado de salud. Además, Dynamics 365 es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar cualquier tipo de datos personales, incluidas categorías especiales de datos personales. Pero, como el procesador de datos, Microsoft no posee ningún control sobre ese uso y, normalmente, tendría poca información (o ninguna) de dicho uso.
Supervisión sistemática de un área accesible públicamente a gran escala. Dynamics 365 no se diseñó para realizar o facilitar dicha supervisión.

Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión.

Nota

1 Con respecto a los criterios según los que el tratamiento se realice a "gran escala", el considerando 91 del RGPD aclara que: "El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria".

Parte 2: Contenido de una EIPD

El artículo 35 (7) exige que una evaluación del impacto sobre la protección de datos especifique los fines del tratamiento y una descripción sistemática del tratamiento previsto. En una descripción sistemática de una EIPD completa, podrían incluirse factores como el tipo de los datos tratados, durante cuánto tiempo se conservarán, dónde se encuentran los datos y dónde se transfieren, y qué terceras partes podrían tener acceso a los datos. Además, en la EIPD tiene que incluirse lo siguiente:

  • una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines;
  • una evaluación de los riesgos para los derechos y libertades de las personas físicas; y
  • las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con este Reglamento, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas.

El cuadro que figura a continuación contiene información sobre Dynamics 365 que es relevante para cada uno de esos elementos. Al igual que en la 1era parte, los encargados de la gestión de datos deben considerar los detalles que figuran a continuación, junto con cualquier otro factor relevante, en el contexto de la aplicación o aplicaciones específicas del controlador y el uso o usos de Dynamics 365.

Elementos de un EIPD Información relevante sobre Dynamics 365
Finalidades del procesamiento Las finalidades del procesamiento de los datos con Dynamics 365 las determina el poseedor que lo implementa, configura y usa.

Dynamics 365 es una plataforma en línea para procesamiento de datos compuesta por distintos servicios en línea, cada uno con diferentes finalidades de procesamiento. Estos son los tipos de servicios ofrecidos por Dynamics 365:

Customer Engagement es, en esencia, un servicio de administración de las relaciones con el cliente. Se incluyen los siguientes servicios en línea: Dynamics 365 for Sales, Dynamics 365 for Marketing, Dynamics 365 for Customer Service, Dynamics 365 for Project Service y Dynamics 365 for Field Service.

Dynamics 365 for Finance and Operations, Enterprise edition (D365FOEE) es un conjunto de aplicaciones de planeamiento de recursos empresariales ofrecido como software como servicio (SaaS) que se proporciona principalmente para la administración de clientes empresariales de ventas, servicios, finanzas y operaciones, fabricación y recursos humanos.

Dynamics 365 for Retail (D365FR) se ofrece como un software como servicio (SaaS) con soluciones de punto de venta integradas localmente para vendedores y distribuidores empresariales.

Dynamics 365 Lifecycle Services (LCS) es un servicio auxiliar en línea, utilizado principalmente por clientes empresariales en el despliegue, la gestión y el mantenimiento de las implementaciones D365FOEE, D365FR del cliente.

Dynamics 365 for Business Central es una oferta de planeamiento de recursos empresariales proporcionada como software como servicio (SaaS) por Microsoft a pequeñas y medianas empresas. El servicio procesa datos personales para proporcionar ayuda con finanzas, fabricación, administración de las relaciones con el cliente, cadenas de suministro, análisis y comercio electrónico.

Dynamics 365 for Talent se ofrece como software como servicio (SaaS) que proporciona administración de recursos humanos a los clientes y consta de los siguientes servicios:

Recursos humanos básicos: un servicio para optimizar las tareas de mantenimiento de registros y automatizar procesos relacionados con la dotación de personal a una organización. Estos procesos incluyen retención de empleados, administración de beneficios, compensación, aprendizaje, evaluaciones del rendimiento y administración de cambios.

Captación: un servicio para buscar, entrevistar y contratar personal.
Incorporación: un servicio para facilitar la incorporación de nuevos empleados en su trabajo *.

Microsoft Social Engagement (MSE) es un servicio auxiliar para Dynamics 365 ofrecido a clientes empresariales con el fin de (i) facilitar el procesamiento de publicaciones en redes sociales públicas y datos personales publicados por los titulares de los datos en un número limitado de redes sociales para permitirles analizar e identificar temas de interés (por ejemplo, tendencias) y administrar la presencia institucional o corporativa en estos lugares virtuales (por ejemplo, páginas de seguidores), incluida la publicación de contenido en redes sociales específicas (escuchar); e (ii) interactuar directamente con los titulares de los datos a través de comunicaciones privadas en redes sociales (interactuar).

En su capacidad de procesador que opera los servicios descritos anteriormente, Dynamics 365 procesa datos personales únicamente para ofrecer a los clientes sus servicios en línea descritos anteriormente, incluidas las finalidades compatibles con la prestación de esos servicios, como la personalización, seguridad, prevención contra fraude y malware, solución de problemas y mejoras.

Como se especifica en los Términos de servicios en línea y Anexos de protección de datos, Microsoft, como procesador de datos, procesa los datos del cliente para proporcionarle los Servicios en línea de acuerdo con las instrucciones documentadas del cliente.

Como se detalla en los estándaresTérminos de servicios en línea y Anexos de protección de datos, Microsoft también utiliza los datos personales para apoyar un conjunto limitado de operaciones comerciales legítimas que consisten en: (1) facturación y administración de cuentas; (2) compensación (por ejemplo, cálculo de comisiones de empleados e incentivos de socios); (3) generación de informes y modelos internos (por ejemplo, previsiones, ingresos, planificación de capacidad, estrategia de productos); (4) lucha contra el fraude, los delitos cibernéticos o los ataques cibernéticos que pueden afectar a Microsoft o a los productos de Microsoft; (5) mejora de la funcionalidad básica de accesibilidad, privacidad o eficiencia energética; y (6) generación de informes financieros y cumplimiento de las obligaciones legales (con sujeción a las limitaciones de divulgación de los datos de los clientes que se describen en los Términos de servicio en línea).

Microsoft es el controlador del procesamiento de datos personales para apoyar estas operaciones comerciales legítimas específicas. Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas, eliminando la capacidad de Microsoft de identificar a personas específicas, y utiliza los datos personales en la forma menos identificable que permita el procesamiento necesario para las operaciones comerciales legítimas.

Microsoft no utilizará los datos de los clientes o la información derivada de ellos para la creación de perfiles o para fines publicitarios o comerciales similares.
Categorías de datos personales procesados Datos de cliente: se trata de todos los datos, incluidos los archivos de texto, sonido, vídeo o imagen y el software, que los clientes proporcionan a Microsoft o que se proporcionan en nombre de los clientes mediante el uso de los servicios en línea de Microsoft. Se incluyen los datos que los clientes cargan para su almacenamiento o procesamiento, así como las personalizaciones. Algunos ejemplos de datos de clientes procesados en Office 365 incluyen contenido de correo electrónico en Exchange Online y documentos o archivos almacenados en SharePoint Online o OneDrive para la Empresa.

Datos generados por el servicio: se trata de datos generados o derivados por Microsoft a través del funcionamiento del servicio, como los datos de uso o de rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft.

Datos de soporte técnico: son datos proporcionados a Microsoft por el cliente o en su nombre (o que el cliente autoriza a Microsoft para obtener de un servicio en línea) con una interacción con Microsoft para obtener soporte técnico para los servicios en línea.

En los datos de clientes, los datos de registro generados por el sistema y los datos de soporte técnico, no se incluyen los datos del administrador ni de facturación, como la información de contacto del administrador de clientes, información sobre suscripciones y datos de pagos, que Microsoft recopila y procesa en calidad de controlador de datos y que están fuera del alcance de este documento.
Retención de datos Microsoft conservará los datos de clientes mientras el cliente ejerza su derecho de uso del servicio y hasta que se eliminen todos los datos del cliente, o bien hasta que se devuelvan según las instrucciones del cliente o las condiciones estipuladas en los Términos de Online Services. En todo momento, durante la vigencia de la suscripción del cliente, el cliente puede obtener acceso a los datos de clientes almacenados en el servicio y extraerlos. Microsoft conservará los datos de clientes almacenados en el servicio en línea en una cuenta con funciones limitadas durante un plazo de 90 días después de la expiración o terminación de la suscripción del cliente con el fin de que este pueda extraer los datos. Cuando finalice el período de retención de 90 días, Microsoft deshabilitará la cuenta del cliente y eliminará los datos del cliente.

El cliente puede borrar sus datos como cliente y los datos de seudónimos en cualquier momento usando las capacidades descritas en la sección de laGuía de derechos de los titulares de datos de Dynamics.
Ubicación y transferencias de datos personales Si el cliente aprovisiona su instancia de Dynamics 365 Core Services en Australia, Canadá, la Unión Europea, India, Japón, Reino Unido o Estados Unidos, Microsoft almacenará los datos de clientes en reposo en el área geográfica especificada, sujeto a determinadas excepciones especificadas en los Términos de Online Services. En el Centro de confianza, encontrará información detallada sobre de almacenamiento de datos de clientes.

En el caso de los datos personales procedentes del Espacio económico europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los propósitos Dicha evaluación dependerá de las necesidades y propósitos de procesamiento del controlador.

En su capacidad de procesador, Microsoft ofrece D365 para procesar datos personales solo para proporcionar a los clientes sus servicios en línea, incluyendo propósitos compatibles con la prestación de dichos servicios, como la personalización al cliente, la seguridad, la prevención del fraude y el malware, la solución de problemas y la mejora. Microsoft procesa los datos en nombre del cliente (inquilino) según sea necesario para proporcionar el servicio solicitado como se establece en nuestros Términos de Online Services disponibles en https://microsoft.com/licensing/contracts.
Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos Los riesgos más importantes para los derechos y libertades de los titulares de los datos derivados del uso de Dynamics 365 dependerán de cómo y en qué contexto el poseedor de los datos lo implemente, configure y use.

Microsoft toma medidas como la anonimización o agregación de los datos personales utilizados por Microsoft para apoyar las operaciones comerciales legítimas con el fin de respaldar la prestación de los servicios, minimizando el riesgo de dicho procesamiento para los titulares de los datos que utilizan el servicio.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. Abajo se indican las medidas que toma Microsoft para dar solución a dichos riesgos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como subprocesadores para facilitar funciones como soporte técnico y atención al cliente, mantenimiento de servicios y otras operaciones. Todos los subcontratistas a los que Microsoft transfiere datos de clientes, datos de soporte o datos personales firman contratos por escrito con Microsoft que proporcionan igual o mayor protección que los Términos de protección de datos de los Términos de servicios en línea. Los subprocesadores de terceros con los que se comparten los datos de clientes de los servicios en línea básicos de Microsoft se incluyen en la lista de subcontratistas de servicios en línea. Todos los subprocesadores de terceros que pueden acceder a los datos de soporte (incluidos los datos de clientes que los clientes eligen compartir durante sus interacciones de soporte) se incluyen en la lista de contratistas de soporte comercial de Microsoft.
Derechos del interesado Al operar como procesador, Microsoft facilita a los clientes (los controladores de datos) los datos personales de los sujetos de datos y la capacidad de cumplir con solicitudes de los mismos cuando ejercen sus derechos según el RGPD. Hacemos esto de forma coherente con la funcionalidad del producto y nuestra función de procesador. Si recibimos una solicitud del interesado de datos de un cliente para ejercer uno o más de sus derechos según el RGPD, redirigimos al interesado para que realice su solicitud directamente al controlador de datos. Las solicitudes de los interesados de Dynamics 365 para el RGPD y la CCPA proporcionan una descripción al responsable de los datos sobre cómo admitir los derechos del interesado mediante las capacidades de Dynamics 365.

Las solicitudes de un titular de datos para ejercer derechos bajo la GDPR para datos personales procesados para apoyar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft.

Por lo general, Microsoft agrega datos personales antes de utilizarlos para nuestras operaciones comerciales legítimas y no está en condiciones de identificar los datos personales de un individuo específico en el agregado. Esto reduce significativamente el riesgo para la privacidad del individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a proteger la seguridad de la información de los clientes. De conformidad con las disposiciones del artículo 32 del RGPD, Microsoft implementó y mantendrá y seguirá las medidas técnicas y organizativas adecuadas cuya finalidad es proteger los datos de clientes y los datos de soporte técnico frente al acceso, divulgación, modificación, pérdida o destrucción, ya sean accidentales, no autorizados o ilícitos.

Para obtener una lista detallada de los controles administrados por Microsoft (controles de procesos empresariales y técnicos) para la seguridad implementada por Dynamics 365, visite el Portal de confianza de servicios. Además, Microsoft cumple con el resto de las obligaciones del RGPD que se aplican en los procesadores de datos, como proporcionar evaluaciones de impacto en la protección de datos personales y una conservación de registros precisa.

Cuando Microsoft procesa datos personales para sus operaciones comerciales legítimas, cumple con las obligaciones de la GDPR que se aplican a los controladores de datos.

Más información