Resumo do Regulamento Geral sobre a Proteção de DadosGeneral Data Protection Regulation Summary

O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Este documento o orienta com informações para respeitar os direitos e cumprir com as obrigações do RGPD ao usar produtos e serviços da Microsoft.This document guides you to information to help you honor rights and fulfill obligations under the GDPR when using Microsoft products and services. Um Plano de ação recomendado para o RGPD e as Listas de Verificação de Preparação de Responsabilidade fornecem recursos adicionais para avaliar e implementar a conformidade de RGPD.A Recommended action plan for GDPR and Accountability Readiness Checklists provide additional resources for assessing and implementing GDPR compliance.

TerminologiaTerminology

Definições úteis para os termos do RGPD usados neste documento:Helpful definitions for GDPR terms used in this document:

  • Controlador de Dados (Controlador): uma pessoa jurídica, uma autoridade pública, uma agência ou outro corpo que, isoladamente ou em conjunto com outras pessoas, determina a finalidade e o meio de processamento de dados pessoais.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Dados do cliente: dados produzidos e armazenados nas operações do dia a dia para o funcionamento do seu negócio.Customer Data: Data produced and stored in the day-to-day operations of running your business.

O que é o RGPD?What is the GDPR?

O RGPD concede direitos para as pessoas gerenciarem dados pessoais coletados por uma organização.The GDPR gives rights to people to manage personal data collected by an organization. Esses direitos podem ser exercidos por meio de uma Solicitação do Titular dos Dados (DSR).These rights can be exercised through a Data Subject Request (DSR). A organização deve fornecer informações adequadas sobre violações de dados e DSRs, e executar Avaliações do Impacto sobre a Proteção de Dados (DPIAs).The organization is required to provide timely information regarding DSRs and data breaches, and perform Data Protection Impact Assessments (DPIAs).

Vários pontos devem ser considerados ao implementar ou avaliar os requisitos do RGPD:Several points should be considered when implementing or assessing GDPR requirements:

  • Desenvolver ou avaliar a conformidade da sua política de privacidade de dados com o RGPD.Developing or evaluating your GDPR-compliance data privacy policy.
  • Avaliar a segurança dos dados da sua organização.Assessing the data security of your organization.
  • Quem é seu controlador de dados?Who is your data controller?
  • Quais processos de segurança de dados talvez você precise executar?What data security processes may you have to perform?

O Plano de ação recomendado para o RGPD e as Listas de Verificação de Preparação de Responsabilidade podem solicitar os pontos adicionais a serem considerados.The Recommended action plan for GDPR and Accountability Readiness Checklists may prompt additional thinking points.

As seguintes tarefas estão envolvidas para atender aos padrões RGPD.The following tasks are involved to meet GDPR standards. Siga os links da lista para obter detalhes sobre a sua implementação.Follow the links in the list for details regarding your implementation.

  • Solicitações do Titular de Dados (DSR).Data subject requests (DSR). Uma solicitação formal feita por um titular de dados a um controlador para executar uma ação (alteração, restrição, acesso) em relação aos seus dados pessoais. A formal request by a data subject to a controller to take an action (change, restrict, access) regarding their personal data.
  • Notificação de violação.Breach notification. Sob o RGPD, uma violação de dados pessoais é “uma violação de segurança que resulta em destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados”.Under GDPR, a personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'
  • Avaliações do Impacto sobre a Proteção dos Dados (DPIA).Data protection impact assessment (DPIA). O RGPD exige que os controladores preparem um DPIA para operações de dados que "provavelmente resultariam em alto risco para os direitos e a liberdade de pessoas físicas".Data controllers are required under GDPR to prepare a DPIA for data operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.'

Conforme mencionado acima, o plano de ação recomendado para o RGPD e as Listas de Verificação de Preparação de Responsabilidade fornece um guia para implementar ou avaliar a conformidade com o RGPD usando produtos e serviços da Microsoft.As mentioned above, the Recommended action plan for GDPR and Accountability Readiness Checklists provide a guide to implementing or assessing GDPR conformance using Microsoft products and services.

Use o Gerenciador de Conformidade da Microsoft para avaliar o riscoUse Microsoft Compliance Manager to assess your risk

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. O Gerenciador de Conformidade tem uma avaliação prévia para essa regulamentação para clientes do Enterprise E5.Compliance Manager has a pre-built assessment for this regulation for Enterprise E5 customers. Encontre o modelo para criar a avaliação na página modelos de avaliação no Gerenciador de Conformidade.Find the template for building the assessment in the assessment templates page in Compliance Manager. Saiba como criar avaliações no Gerenciador de Conformidade.Learn how to build assessments in Compliance Manager.

Solicitação do Titular de Dados (DSR)Data Subject Request (DSR)

O GDPR concede a indivíduos (ou a entidades de dados) certos direitos relacionados ao processamento de seus dados pessoais, incluindo o direito de corrigir dados incorretos, apagar dados ou restringir seu processamento, receber seus dados e atender a uma solicitação para transmitir seus dados a outro controlador.The GDPR grants individuals (or data subjects) certain rights in connection with the processing of their personal data, including the right to correct inaccurate data, erase data or restrict its processing, receive their data and fulfill a request to transmit their data to another controller. O controlador é responsável por fornecer uma resposta adequada e consistente com o RGPD.The controller is responsible for providing a timely, GDPR consistent reply. Para obter detalhes técnicos, confira Solicitações do titular de dados.For technical details, refer to Data Subject Requests.

FAQs do DSRDSR FAQs

Quais ações serão necessárias para concluir um DSR?What actions will be required to complete a DSR?

DSRs envolvem seis atividades: descoberta, acesso, retificação, restrição, exportação e exclusão.DSRs involve six activities: Discovery, Access, Rectification, Restriction, Export, and Deletion.

Quais são suas fontes de dados?What are your data sources?

A maioria dos dados de uma organização é gerada em aplicativos do Office, como o Excel e o Outlook.A large fraction of an organization's data is generated in Office applications such as Excel and Outlook. Você também pode encontrar dados relevantes para um DSR em Informações, gerados por produtos e serviços da Microsoft, e logs gerados pelo sistema.You may also find data relevant to a DSR in Insights generated by Microsoft products and services, and system-generated logs.

Quais tipos de dados precisam ser pesquisados?What kinds of data need to be searched?

Dados pessoais podem ser encontrados em dados de clientes, informações geradas por produtos e serviços da Microsoft, além de logs gerados pelo sistema.Personal data may be found in customer data, insights generated by Microsoft products and services, and system-generated logs.

Como os dados pessoais serão pesquisados?How will personal data be searched?

Procurar dados pessoais pode variar em produtos e serviços da Microsoft.Searching for personal data may vary across Microsoft products and services. As ferramentas de pesquisa incluem Pesquisa de Conteúdo ou recurso de pesquisa no aplicativo.Search tools include Content Search, or in-app search capacity. Os administradores podem acessar logs gerados pelo sistema associados à atividade de um usuário.Administrators may access system-generated logs associated with a user's activity.

Em que formatos os dados pessoais devem estar disponíveis?In what formats should personal data be made available?

O "direito de portabilidade dos dados" do RGPD permite que o titular de dados solicite uma cópia dos dados pessoais que estejam em um "formato estruturado, frequentemente usado, que possa ser lido por máquina", bem como solicite que sua organização transmita esses arquivos para outro controlador de dados.The GDPR 'right of data portability' allows a data subject to request a copy of personal data in a 'structured, commonly used, machine-readable format', and to request that your organization transmit these files to another data controller.

Quais são as exigências do GDPR e minhas responsabilidades como controlador?What does the GDPR require and what are my responsibilities as the controller?

Como controlador, o GDPR exige que você seja capaz de:As controller, the GDPR requires you to be able to:

  • Fornecer aos titulares dos dados uma cópia de seus dados pessoais, juntamente com uma explicação das categorias dos seus dados que estão sendo processados, os objetivos desse processamento e as categorias de terceiros para os quais esses dados podem ser divulgados.Give data subjects a copy of their personal data, together with an explanation of the categories of their data that are being processed, the purposes of that processing, and the categories of third parties to whom their data may be disclosed.
  • Ajudar cada indivíduo a exercer seu direito de corrigir dados pessoais incorretos, apagar dados ou restringir seu processamento, receber seus dados em formato legível e, se for caso, atender a uma solicitação para transmitir seus dados para outro controlador.Help every individual exercise their right to correct inaccurate personal data, erase data or restrict its processing, receive their data in a readable form, and where applicable, fulfill a request to transmit their data to another controller.

Quais são as exigências do RGPD e as responsabilidades da Microsoft como processador?What does the GDPR require and what are the responsibilities of Microsoft as processor?

Precisamos implementar as medidas técnicas e organizacionais apropriadas para ajudá-lo a responder a Solicitações de Entidades de Dados que exercem seus direitos conforme discutido acima.We must implement the appropriate technical and organizational measures to assist you in responding to requests from data subjects exercising their rights as discussed above.

Onde posso encontrar as informações relacionadas ao RGPD para servidores locais?Where can I find GDPR-related information for on-premises servers?

Você pode encontrar uma série de artigos relacionados a RGPD.You can find a series of GDPR-related articles here. Produzidos pela Microsoft, eles fornecem abordagens recomendadas para a carga de trabalho local para o SharePoint Server, o Exchange Server, o Project Server, o servidor do Office Web Apps, o Office Online Server e os compartilhamentos de arquivos locais.Produced by Microsoft, they provide recommended approaches for on-premises workload for SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server, and on-premises file shares.

Como a Microsoft permite que você responda a solicitações de entidades de dados?How does Microsoft enable you to respond to data subject requests?

Os serviços online oferecem uma série de recursos para permitir que você, como controlador, responda à solicitação de um titular de dados.Online Services offers a host of capabilities to enable you, as a controller, to respond to a data subject's request. Os serviços online corporativos e os controles administrativos da Microsoft ajudam você a agir em dados pessoais em reação às solicitações de direitos dos titulares dos dados, o que permite descobrir, acessar, corrigir, restringir, excluir e exportar dados pessoais que residem nos dados gerenciados pelo controlador armazenados na nuvem da Microsoft.Microsoft enterprise online services and administrative controls help you act on personal data responsive to data subject rights requests, allowing you to discover, access, rectify, restrict, delete, and export personal data that resides in the controller-managed data stored in Microsoft's cloud. Os serviços online também fornecem dados em formato legível por máquina, caso você precise.Online Services also provides data in machine-readable form should you need it.

Avaliações do Impacto sobre a Proteção dos DadosData Protection Impact Assessment

O RGPD exige que os controladores preparem uma Avaliação de Impacto de Proteção de Dados (DPIA) para operações que "provavelmente resultariam em alto risco para os direitos e a liberdade de pessoas físicas".Under GDPR, data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Não há nada inerente aos produtos e serviços da Microsoft que precisem da criação de um DPIA.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Em vez disso, depende dos detalhes da sua configuração da Microsoft.Rather, it depends on the details of your Microsoft configuration. Uma lista de detalhes que devem ser considerados no Office pode ser encontrada no Conteúdo de DPIAA list of details that must be considered in Office can be found in Contents of DPIA

Perguntas frequentes sobre DPIADPIA FAQs

Quando executar um DPIA?When should you conduct a DPIA?

Os controladores devem executar um DPIA para lidar com os riscos para a segurança de dados pessoais ou como resultado de uma violação de dados.Controllers are required to perform a DPIA addressing risks to personal data security or as a result of a data breach. Os exemplos específicos de fatores de risco no Office são abordados em Determinar se um DPIA é necessário.Specific examples of risk factors in Office are addressed in Determining Whether a DPIA is Needed.

O que é necessário para concluir um DPIA?What is required to complete a DPIA?

O RGPD exige que um DPIA inclua:The GDPR mandates that a DPIA includes:

  • Avaliação da necessidade e da proporcionalidade do processamento de dados em relação aos objetivos do DPIA.Assessment of the necessity, and proportionality of data processing in relation to the DPIA's purpose.
  • Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados.An assessment of the risks to the rights and freedoms of data subjects.
  • As medidas desejadas para lidar com os riscos, incluindo proteções, medidas de segurança e mecanismos para garantir a proteção de dados pessoais e demonstrar a conformidade com o RGPD.Intended measures to address the risks, safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.

Quais são minhas responsabilidades como Controlador?What are my responsibilities as a Controller?

Segundo o GDPR, como controlador, é necessário que você realize DPIAs antes de práticas de processamento de dados que provavelmente resultarão em um alto risco aos direitos e às liberdades dos indivíduos, em particular, o processamento com o uso de novas tecnologias.Under the GDPR, as a controller you are required to undertake DPIAs prior to data processing that is likely to result in a high risk to the rights and freedoms of individuals—in particular, processing using new technologies. O GDPR fornece a seguinte lista não exaustiva de casos em que DPIAs devem ser realizadas:The GDPR provides the following non-exhaustive list of cases in which DPIAs must be carried out:

  • Processamento automatizado para fins de criação de perfis e atividades semelhantes que tenham efeitos legais ou que, de modo semelhante, afetem significativamente os titulares dos dados;Automated processing for the purposes of profiling and similar activities that has legal effects or similarly significantly affects data subjects;
  • Processamento em grande escala de categorias especiais de dados pessoais - dados que revelam origem racial ou étnica, opinião política e similares - ou de dados relacionados a condenações e ofensas criminais;Processing on a large scale of special categories of personal data-data revealing racial or ethnic origin, political opinion, and the like—or of data relating to criminal convictions and offenses;
  • Monitoramento sistemático de uma área de acesso público em grande escala.Systematic monitoring of a publicly accessible area on a large scale.

O RGPD também exige que você consulte sua Autoridade de Proteção de Dados (DPA) antes de iniciar qualquer processamento caso não consiga identificar processos suficientes para minimizar os altos riscos aos titulares dos dados.The GDPR also requires that you must consult with your Data Protection Authority (DPA) before you begin any processing if you cannot identify sufficient processes to minimize high risks to data subjects.

Quais são as responsabilidades da Microsoft?What are the responsibilities of Microsoft?

A Microsoft pratica princípios de privacidade estrutural e privacidade por padrão em suas funções de engenharia e negócios.Microsoft practices privacy by design and privacy by default in its engineering and business functions. Como parte desses esforços, a Microsoft realiza análises de privacidade abrangentes em operações de processamento de dados que têm o potencial de causar impactos nos direitos e nas liberdades dos titulares dos dados.As part of these efforts, Microsoft performs comprehensive privacy reviews on data processing operations that have the potential to cause impacts to the rights and freedoms of data subjects. As equipes de privacidade integradas nos grupos de serviços analisam o design e a implementação de serviços para garantir que os dados pessoais sejam processados de maneira respeitosa, de acordo com a lei internacional, as expectativas dos usuários e nossos compromissos expressos.Privacy teams embedded in the service groups review the design and implementation of services to ensure that personal data is processed in a respectful manner that accords with international law, user expectations, and our express commitments.

Essas análises de privacidade tendem a ser granulares – um serviço específico pode receber dezenas ou centenas de análises.These privacy reviews tend to be granular — a particular service may receive dozens or hundreds of reviews. A Microsoft implementa essas análises de privacidade granulares em Avaliações do Impacto sobre a Proteção dos Dados (DPIAs) que abrangem os principais agrupamentos de processamento, que então são examinadas pelo Oficial de Proteção de Dados (DPO) da Microsoft EU.Microsoft rolls up these granular privacy reviews into Data Protection Impact Assessments (DPIAs) that cover major groupings of processing, which the Microsoft EU Data Protection Officer (DPO) then reviews. O DPO avalia os riscos relacionados ao processamento de dados para garantir que existam mitigações suficientes em vigor.The DPO assesses the risks related to the data processing to ensure that sufficient mitigations are in place. Se o DPO detectar riscos não mitigados, as alterações repassadas ao grupo de engenharia.If the DPO finds unmitigated risks, changes are recommended back to the engineering group. As DPIAs serão revisadas e atualizadas à medida que os riscos à proteção dos dados mudarem.DPIAs will be reviewed and updated as data protection risks change.

A Microsoft, como processador, tem o dever de ajudar os controladores a assegurar a conformidade com os requisitos para DPIA estabelecidos no RGPD.Microsoft, as a processor, has a duty to assist controllers in ensuring compliance with the DPIA requirements laid out in the GDPR. Para dar suporte aos nossos clientes, as seções relevantes de DPIAs da Microsoft foram abstraídas e serão fornecidas por meio desta seção em atualizações futuras, com a intenção de permitir que os controladores que dependem de serviços Microsoft aproveitem os resumos para criar suas próprias DPIAs.To support our customers, relevant sections of Microsoft's DPIAs are abstracted and will be provided through this section in future updates with the intent of allowing controllers relying on Microsoft services to leverage the abstracts in order to create their own DPIAs.

Notificação de falhaBreach Notification

O RGPD impõe requisitos de notificação para controladores e processadores de dados para uma violação de dados pessoais.The GDPR mandates notification requirements for data controllers and processors for a breach of personal data. Como um processador de dados, a Microsoft garante que os clientes possam atender aos requisitos de notificação de violação do RGPD.As a data processor, Microsoft ensures that customers are able to meet the GDPR's breach notification requirements. Os controladores de dados são responsáveis por avaliar os riscos à privacidade de dados e determinar se uma violação exige uma notificação de DPA do cliente.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. A Microsoft fornece as informações necessárias para a avaliação.Microsoft provides the information needed to make that assessment. Para obter mais informações sobre como a Microsoft detecta e responde a uma violação de dados pessoais, confira Notificação de violação de dados no RGPD.More information about how Microsoft detects and responds to a breach of personal data in Data Breach Notification Under the GDPR.

Perguntas frequentes sobre notificação de falhaBreach notification FAQs

O que constitui uma violação de dados pessoais no âmbito do RGPD?What constitutes a breach of personal data under the GDPR?

Dados pessoais significam quaisquer informações relacionadas a um indivíduo que possam ser usadas para identificá-los direta ou indiretamente.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Uma violação de dados pessoais é “uma violação de segurança que resulta em destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados”.A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'

Quais são as suas responsabilidades como controlador?What are your responsibilities as the controller?

Se a violação de dados pessoais que possa resultar em alto risco aos direitos e às liberdades dos indivíduos (como discriminação, roubo de identidade, fraude, perda financeira ou danos à reputação) ocorrer, o RGPD exige que você:If a breach of personal data that is likely to result in a high risk to the rights and freedoms of individuals (such as discrimination, identity theft, fraud, financial loss, or damage to their reputation) occurs, the GDPR requires you to:

  • Notifique a Autoridade de Proteção de Dados (DPA) apropriada dentro de 72 horas após tomar conhecimento da violação, por exemplo, depois que a notificar você.Notify the appropriate Data Protection Authority (DPA) within 72 hours of becoming aware of it—for example, after Microsoft notifies you. Se você não notificar o DPA nesse período, precisará explicar a ele o motivo.If you don't notify the DPA within that time period, you'll need to explain why to the DPA. Este aviso ao DPA é necessário mesmo quando existe risco para os indivíduos que não seja suscetível de se transformar em um alto risco.This notice to the DPA is required even where there is a risk to individuals that is not likely to result in a high risk.
  • Notifique os titulares dos dados sobre a violação sem demora injustificada. Notify the data subjects of the breach without undue delay.
  • Documente a violação, incluindo uma descrição de sua natureza da violação, como quantas pessoas foram afetadas, o número de registros de dados afetados, as consequências da violação e qualquer ação corretiva que a sua organização esteja propondo ou adotando.Document the breach including a description of the nature of the breach—such as how many people were impacted, the number of data records affected, the consequences of the breach, and any remedial action your organization is proposing or took.

Quais são as responsabilidades da Microsoft como Processador?What are the responsibilities of Microsoft as the processor?

Depois de tomarmos conhecimento de uma violação de dados pessoais, o RGPD exige que o notifiquemos sem atrasos indevidos.After we become aware of a personal data breach, the GDPR requires us to notify you without undue delay. Nos casos em que a Microsoft é um processador, nossas obrigações refletem tanto os requisitos do RGPD quanto nossas cláusulas contratuais mundiais padrão.Where Microsoft is a processor our obligations reflect both GDPR requirements and our standard, worldwide contractual provisions. Consideramos que todas as violações de dados pessoais confirmadas estão dentro do escopo; não há risco de limites de danos.We consider that all confirmed personal data breaches are in scope; there is no risk of harm threshold. Notificaremos nossos clientes se a violação de dados tiver sido sofrida diretamente pela Microsoft ou por qualquer um de nossos subprocessadores.We will notify our customers whether the data breach was suffered by Microsoft directly or by any of our sub-processors. Temos processos para identificar e contatar rapidamente a equipe de incidentes de segurança que você identificou na sua organização.We have processes in place to quickly identify and contact security incident personnel you've identified in your organization. Além disso, todos os subprocessadores são contratualmente obrigados a relatar suas próprias violações à Microsoft e a fornecer garantias para esse efeito.In addition, all sub-processors are contractually obliged to report their own breaches to Microsoft, and provide guarantees to that effect.

Como a MIcrosoft detectará uma violação de dados?How will MIcrosoft detect a data breach?

Todos os nossos serviços e funcionários seguem os procedimentos internos de gerenciamento de incidentes, para garantir que tomemos as devidas precauções para evitar violações de dados antes de mais nada.All our services and personnel follow internal incident management procedures to ensure that we take proper precautions to avoid data breaches in the first place. No entanto, além disso, os serviços de nuvem corporativos da Microsoft possuem controles de segurança específicos em nossas plataformas para detectar violações de dados no raro evento de elas ocorrerem.However, in addition, Online Services have specific security controls in place across our platforms to detect data breaches in the rare event that they occur.

Como a Microsoft responderá a uma violação de dados?How will Microsoft respond to a data breach?

Para dar suporte em caso de uma violação de dados pessoais, a Microsoft tem:To support you for a breach of personal data Microsoft has: - Pessoal de segurança treinado sobre os procedimentos específicos a serem seguidos.Security personnel trained on the specific procedures to follow. - Políticas, procedimentos e controles em vigor para garantir que a Microsoft mantenha registros detalhados.Has policies, procedures, and controls in place to ensure that Microsoft maintains detailed records. Essa resposta inclui uma documentação que captura os fatos do incidente, seus efeitos e ação corretiva, bem como informações de acompanhamento e armazenamento em nossos sistemas de gerenciamento de incidentes.This response includes documentation that captures the facts of the incident, its effects, and remedial action, as well as tracking and storing information in our incident management systems.

Como a Microsoft me notificará no caso de uma violação de dados?How will Microsoft notify me in the event of a data breach?

A Microsoft tem políticas e procedimentos em vigor para notificá-lo imediatamente.Microsoft has policies and procedures in place to notify you promptly. Para atender aos seus requisitos de notificação ao DPA, forneceremos uma descrição do processo que utilizamos para determinar se uma violação de dados pessoais ocorreu, uma descrição da natureza da violação e uma descrição das medidas tomadas para mitigar essa violação.To satisfy your notice requirements to the DPA, we will provide a description of the process we used to determine if a breach of personal data has occurred, a description of the nature of the breach and a description of the measures we took to mitigate the breach.

Listas de Verificação de Preparação de Responsabilidade para o RGPDAccountability Readiness Checklists for the GDPR

Essas listas de verificação fornecem uma forma conveniente de acessar as informações necessárias para dar suporte ao RGPD ao usar os produtos da Microsoft.These checklists provide a convenient way to access information you may need to support the GDPR using Microsoft products. Você pode gerenciar os itens nesta lista de verificação com a Gerenciador de Conformidade da Microsoft fazendo referência à ID de controle e ao Título do Controle em Controles Gerenciados pelo Cliente no bloco do RGPD.You can manage checklist items with Microsoft Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Perguntas frequentes do RGPDGDPR FAQs

A Microsoft faz os compromissos com seus clientes em relação ao RGPD?Does Microsoft make commitments to its customers with regard to the GDPR?

Sim.Yes. O RGPD exige que os controladores (por exemplo, organizações que usam os serviços online da Microsoft) usem apenas processadores (como a Microsoft) que forneçam garantias suficientes para atender aos principais requisitos do RGPD.The GDPR requires controllers (such as organizations using Microsoft's enterprise online services) only use processors (such as Microsoft) that provide sufficient guarantees to meet key requirements of the GDPR. A Microsoft tomou a iniciativa de se comprometer com todos os clientes de Licenciamento por Volume como parte de seus acordos.Microsoft has taken the proactive step of providing these commitments to all Volume Licensing customers as part of their agreements.

Como a Microsoft me ajuda a consentir?How does Microsoft help me comply?

A Microsoft fornece ferramentas e documentação para dar suporte à sua responsabilidade ao RGPD.Microsoft provides tools and documentation to support your GDPR accountability. Isso inclui suporte para Direitos de Dados, realização de suas próprias Avaliações do Impacto sobre a Proteção dos Dados e trabalho em conjunto para resolver violações de dados pessoais.This includes support for Data Subject Rights, performing your own Data Protection Impact Assessments, and working together to resolve personal data breaches.

Quais compromissos estão nos termos RGPD?What commitments are in the GDPR Terms?

Os Termos de RGPD da Microsoft refletem os compromissos obrigatórios dos processadores no Artigo 28.Microsoft's GDPR Terms reflect the commitments required of processors in Article 28. O artigo 28 exige que os processadores se comprometam a:Article 28 requires that processors commit to:

  • Usar somente os subprocessadores com o consentimento do controlador e se responsabilizar por subprocessos.Only use subprocessors with the consent of the controller and remain liable for subprocessors.
  • Processe dados pessoais somente nas instruções do controlador, incluindo em relação a transferências.Process personal data only on instructions from the controller, including with regard to transfers.
  • Garanta que as pessoas que processam dados pessoais estejam comprometidas com a confidencialidade.Ensure that persons who process personal data are committed to confidentiality.
  • Implemente medidas técnicas e organizacionais apropriadas para garantir um nível de segurança de dados pessoais apropriado para o risco.Implement appropriate technical and organizational measures to ensure a level of personal data security appropriate to the risk.
  • Auxiliar os controladores em suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos RGPD.Assist controllers in their obligations to respond to data subjects' requests to exercise their GDPR rights.
  • Atender aos requisitos de notificação e assistência de violação.Meet the breach notification and assistance requirements.
  • Auxiliar os controladores nas avaliações de impacto na proteção de dados e na consulta com as autoridades de supervisão.Assist controllers with data protection impact assessments and consultation with supervisory authorities.
  • Excluir ou retornar dados pessoais no final do provisionamento de serviços.Delete or return personal data at the end of provision of services.
  • Dar suporte ao controlador com evidências de conformidade com o RGPD.Support the controller with evidence of compliance with the GDPR.

Em que base a Microsoft facilita a transferência de dados pessoais fora da UE?Under what basis does Microsoft facilitate the transfer of personal data outside of the EU?

A Microsoft tem usado por extenso as Cláusulas Contratuais Padrão (também conhecidas como as Cláusulas Modelo) como base para a transferência de dados dos serviços online corporativos.Microsoft has long used the Standard Contractual Clauses (also known as the Model Clauses) as a basis for transfer of data for its enterprise online services. As Cláusulas Contratuais Padrão são termos padrão fornecidos pela Comissão Europeia, que podem ser usados para transferir dados de fora da área europeia de maneira compatível.The Standard Contractual Clauses are standard terms provided by the European Commission that can be used to transfer data outside the European Economic Area in a compliant manner. A Microsoft incorporou as Cláusulas Contratuais Padrão em todos os acordos de licenciamento por volume pelos Termos de Serviços Online.Microsoft has incorporated the Standard Contractual Clauses into all of our Volume Licensing agreements via the Online Services Terms. O Grupo de Trabalho do Artigo 29 concluiu que a implementação das Cláusulas Contratuais Padrão da Microsoft é compatível.The Article 29 Working Party has found Microsoft's implementation of the Standard Contractual Clauses are compliant. E quando o Escudo de Privacidade UE-EUA ficou disponível, a Microsoft foi a primeira empresa a certificar.And when the EU-US Privacy Shield became available, Microsoft was the first company to certify. Confira aCertificação de Escudo de Privacidade da Microsofte leia os Termos de Serviços Online.See Microsoft's certification to the Privacy Shield, and read the Online Services Terms. O Escudo de Privacidade da UE ajuda os clientes que desejam transferir seus dados para os Estados Unidos, de uma maneira coerente com as obrigações de proteção de dados.The EU-US Privacy Shield helps customers that want to transfer their data to the US do so in a manner consistent with their data protection obligations.

Quais são as outras ofertas de conformidade da Microsoft?What are the other Microsoft compliance offerings?

Por ser uma empresa global com clientes em quase todos os países do mundo, a Microsoft tem um portfólio de conformidade robusto para ajudar nossos clientes.As a global company with customers in nearly every country in the world, Microsoft has a robust compliance portfolio to assist our customers. Para exibir uma lista completa de nossas ofertas de conformidade, incluindo FedRamp, HIPAA/biotipo, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud e muitos outros visite nossos tópicos de oferta de conformidade.To view a complete list of our compliance offerings including FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, and many others visit our compliance offering topics.

Como o RGPD afetará a minha empresa?How will GDPR affect my company?

O RGPD impõe uma ampla variedade de requisitos às organizações que coletam ou processam dados pessoais, incluindo um requisito para atender a seis princípios principais:The GDPR imposes a wide range of requirements on organizations that collect or process personal data, including a requirement to comply with six key principles:

  • Transparência,imparcialidade e legalidade no gerenciamento e no uso de dados pessoais.Transparency, fairness, and lawfulness in the handling and use of personal data. Você precisará ser claro com as pessoas sobre como você está usando dados pessoais e também precisará de uma "base legal" para processar esses dados.You will need to be clear with individuals about how you are using personal data and will also need a "lawful basis" to process that data.
  • Limitar o processamento de dados pessoais a finalidades especificadas, explícitas e legítimas.Limiting the processing of personal data to specified, explicit, and legitimate purposes. Você não poderá reutilizar ou divulgar dados pessoais para fins que não sejam "compatíveis" com a finalidade para a qual os dados foram originalmente coletados.You will not be able to reuse or disclose personal data for purposes that are not "compatible" with the purpose for which the data was originally collected.
  • Minimizar a coleta e o armazenamento de dados pessoais que são adequados e relevantes para o propósito desejado.Minimizing the collection and storage of personal data to that which is adequate and relevant for the intended purpose.
  • Garantindo a precisão de dados pessoais e permitindo que eles sejam apagados ou retificados.Ensuring the accuracy of personal data and enabling it to be erased or rectified. Você precisará tomar medidas para garantir que os dados pessoais que você possui sejam precisos e possam ser corrigidos se ocorrerem erros.You will need to take steps to ensure that the personal data you hold is accurate and can be corrected if errors occur.
  • Limitando o armazenamento de dados pessoais.Limiting the storage of personal data. Será necessário garantir que os dados pessoais sejam retidos apenas pelo tempo necessário para alcançar o propósito para o qual os dados foram coletados.You will need to ensure that you retain personal data only for as long as necessary to achieve the purposes for which the data was collected.
  • Garantindo segurança, integridade e confidencialidade de dados pessoais.Ensuring security, integrity, and confidentiality of personal data. Sua organização deve tomar medidas para manter os dados pessoais protegidos por meio de medidas de segurança técnica e organizacional.Your organization must take steps to keep personal data secure through technical and organizational security measures.

Você precisará entender as obrigações específicas da sua organização com o RGPD, e como as atenderá, embora a Microsoft esteja disponível para te ajudar em sua jornada.You will need to understand what your organization's specific obligations are to the GDPR are and how you will meet them, though Microsoft is here to help you on your GDPR journey.

Quais direitos as empresas precisam garantir segundo os termos do RGDP?What rights must companies enable under GDPR?

O RGDP fornece aos residentes da UE o controle sobre seus dados pessoais por meio de um conjunto de “direitos de assunto de dados”.The GDPR provides EU residents with control over their personal data through a set of 'data subject rights'. Isso inclui o direito de:This includes the right to:

  • Acessar informações sobre como os dados pessoais são usados.Access information about how personal data is used.
  • Acessar dados pessoais mantidos por uma organização.Access personal data held by an organization.
  • Ter dados pessoais incorretos excluídos ou corrigidos.Have incorrect personal data deleted or corrected.
  • Ter dados pessoais corrigidos e apagados em determinadas circunstâncias (às vezes chamado de "direito a ser esquecido").Have personal data rectified and erased in certain circumstances (sometimes referred to as the "right to be forgotten").
  • Restringir ou se opor ao processamento automático de dados pessoais.Restrict or object to automated processing of personal data.
  • Receber uma cópia dos dados pessoais.Receive a copy of personal data.

O que são processadores e controladores?What are Processors and Controllers?

Um controlador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, individualmente ou em conjunto com outras pessoas, determina a finalidade e os meios de processamento de dados pessoais.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. O processador é uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.A processor is a natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.

O RGPD se aplica a processadores e controladores?Does the GDPR apply to Processors and Controllers?

Sim, o RGPD se aplica a controladores e processadores.Yes, the GDPR applies to both controllers and processors. Os controladores devem usar apenas processadores que utilizam medidas para atender aos requisitos do RGPD.Controllers must only use processors that take measures to meet the requirements of the GDPR. De acordo com o RGPD, os processadores enfrentam deveres e responsabilidades adicionais por não conformidade ou por agir fora das instruções fornecidas pelo controlador, em comparação com a Diretiva de Proteção de Dados.Under the GDPR, processors face additional duties and liability for noncompliance, or acting outside of instructions provided by the controller, as compared to the Data Protection Directive. As tarefas de processador incluem, mas não se limitam a:Processor duties include, but are not limited to:

  • Processar os dados somente conforme as instruções do controlador.Processing data only as instructed by the controller.
  • Usar medidas técnicas e organizacionais apropriadas para proteger dados pessoais.Using appropriate technical and organizational measures to protect personal data.
  • Auxiliar o controlador com as solicitações de assunto de dados.Assisting the controller with data subject requests.
  • Garantir que os subprocessadores envolvidos atendam a esses requisitos.Ensuring subprocessors it engages meet these requirements.

Qual o valor máximo da multa pela não conformidade das empresas?How much can companies be fined for noncompliance?

As empresas podem ser multadas em até €20m ou 4% do faturamento global anual, o que for maior, por não atender a determinados requisitos do RGPD.Companies can be fined up to €20m or 4% of annual global turnover, whichever is greater, for failure to meet certain GDPR requirements. Outras soluções individuais podem aumentar o risco caso você não cumpra aos requisitos do RGPD.Additional individual remedies could increase your risk if you fail to adhere to GDPR requirements.

Minha empresa precisa indicar um DPO (Diretor de Proteção de Dados)?Does my business need to appoint a Data Protection Officer (DPO)?

Isso depende de vários fatores identificados dentro da regulamentação.It depends on several factors identified within the regulation. O artigo 37 da RGPD afirma que os controladores e os processadores devem designar um diretor de proteção de dados em qualquer caso em que: (a) o processamento tenha sido feito por uma autoridade pública ou corpo, exceto por tribunais atuando em sua capacidade judicial; (b) as principais atividades do controlador ou do processador consiste em operações de processamento que, em virtude da natureza, do escopo e/ou de seus propósitos, exigem o monitoramento regular e sistemático dos assuntos de dados em uma grande escala; ou (c) as principais atividades do controlador ou processador consistem em processamento em uma grande escala de categorias especiais de dados, de acordo com o artigo 9 e dados pessoais relacionados a condenações e infrações penais referidas no artigo 10.Article 37 of the GDPR states that controllers and processors shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offenses referred to in Article 10.

Quanto custará atender à conformidade com o RGPD?How much will it cost to meet compliance with the GDPR?

Atender a conformidade com o RGPD custará tempo e dinheiro para a maioria das organizações, embora possa ser uma transição mais suave para quem está operando em um modelo de serviços de nuvem bem estruturado e que tenham um programa de governança de dados eficaz no local.Meeting compliance with the GDPR will cost time and money for most organizations, though it may be a smoother transition for those who are operating in a well-architected cloud services model and have an effective data governance program in place.

Como faço para saber se os dados que a minha organização está processando são cobertos pelo RGPD?How do I know if the data that my organization is processing is covered by the GDPR?

O RGPD regula o conjunto, armazenamento, uso e compartilhamento de "dados pessoais".The GDPR regulates the collection, storage, use, and sharing of 'personal data'. Os dados pessoais são definidos em linhas gerais no RGPD como todos os dados relacionados a uma pessoa física identificada ou identificável.Personal data is defined broadly under the GDPR as any data that relates to an identified or identifiable natural person.

Os dados pessoais podem incluir, mas não se limitam a identificadores online (por exemplo, endereços de IP), informações de funcionários, bancos de dados de vendas, dados de atendimento ao cliente, formulários de comentários do cliente, dados de localização, dados biométricos, imagens de CCTV, registros de esquemas de fidelidade, informações de saúde e financeiras e muito mais.Personal data can include, but is not limited to, online identifiers (for example, IP addresses), employee information, sales databases, customer services data, customer feedback forms, location data, biometric data, CCTV footage, loyalty scheme records, health, and financial information and much more. Pode inclusive incluir informações que não parecem ser pessoais, como uma foto de um paisagem sem pessoas, onde essas informações são vinculadas por um número de conta ou código exclusivo a uma pessoa identificável.It can even include information that does not appear to be personal-such as a photo of a landscape without people-where that information is linked by an account number or unique code to an identifiable individual. E mesmo dados pessoais que foram pseudonimizados podem ser dados pessoais se o pseudônimo puder ser vinculado a um indivíduo em particular.And even personal data that has been pseudonymized can be personal data if the pseudonym can be linked to a particular individual.

O processamento de determinadas categorias "especiais" de dados pessoais, como dados pessoais que revelem origem racial ou étnica de uma pessoa ou que fale sobre saúde ou orientação sexual, está sujeito a regras mais estritas do que o processamento de dados pessoais "simples".Processing of certain "special" categories of personal data – such as personal data that reveals a person's racial or ethnic origin, or concerns their health or sexual orientation – is subject to more stringent rules than the processing of "ordinary" personal data. Essa avaliação de dados pessoais é muito específica, portanto, recomendamos envolver um especialista para avaliar as circunstâncias específicas.This evaluation of personal data is highly fact-specific, so we recommend engaging an expert to evaluate your specific circumstances.

Minha organização só processa dados em nome de outras pessoas. Ainda é necessário obedecer à RGPD?My organization is only processing data on behalf of others. Does it still need to comply with the GDPR?

Sim.Yes. Embora as regras sejam diferentes, o RGPD se aplica à organizações que coletam e processam os dados para fins próprios ("controladores"), bem como para as organizações que processam os dados em nome de outras pessoas ("processadores").Although the rules differ somewhat, the GDPR applies to organizations that collect and process data for their own purposes ('controllers') as well as to organizations that process data on behalf of others ('processors'). Esse requisito é uma mudança da Diretiva de Proteção de Dados existente, que se aplica a controladores.This requirement is a shift from the existing Data Protection Directive, which applies to controllers.

O que é considerado especificamente dados pessoais?What specifically is deemed personal data?

Os dados pessoais são quaisquer informações relacionadas a uma pessoa, identificável ou não.Personal data is any information relating to an identified or identifiable person. Não há distinção entre as funções pública, privada ou de trabalho de uma pessoa.There is no distinction between a person's private, public, or work roles. Os dados pessoais podem incluir:Personal data can include:

  • NomeName
  • Endereço residencialHome address
  • Endereço comercialWork address
  • TelefoneTelephone number
  • CelularMobile number
  • Endereço de emailEmail address
  • Número do passaportePassport number
  • RGNational ID card
  • CPF (ou equivalente)Social Security Number (or equivalent)
  • HabilitaçãoDriver's license
  • Informações físicas, fisiológicas ou genéticasPhysical, physiological, or genetic information
  • Informações médicasMedical information
  • Identidade culturalCultural identity
  • Detalhes bancários/números de contaBank details / account numbers
  • Número de contribuinteTax file number
  • Endereço comercialWork address
  • Números de cartão de crédito/débitoCredit/Debit card numbers
  • Postagens em redes sociaisSocial media posts
  • Endereço IP (região da UE)IP address (EU region)
  • Dados de localização/GPSLocation / GPS data
  • CookiesCookies

Posso transferir dados de fora da UE?Am I allowed to transfer data outside of the EU?

Sim, no entanto, o RGPD regula estritamente as transformações de dados pessoais de residentes na Europa, para destinos fora da Área Econômica Europeia.Yes, however the GDPR strictly regulates transfers of personal data of European residents to destinations outside the European Economic Area. Talvez seja necessário configurar um mecanismo legal específico, como um contrato, ou obedecer a um mecanismo de certificação para habilitar essas transferências.You may need to set up a specific legal mechanism, such as a contract, or adhere to a certification mechanism in order to enable these transfers. A Microsoft detalha os mecanismos que usamos nos termos de serviços online.Microsoft details the mechanisms we use in the Online Services Terms.

Tenho requisitos de retenção de dados por meio de conformidade. Esses requisitos substituirão o direito de fazer o apagamento?I have data retention requirements through compliance. Do these requirements override the right to erasure?

No caso em que existam motivos legítimos para o processamento contínuo e para a retenção de dados, como “o cumprimento de uma obrigação legal, que exige o processamento pela legislação da União ou Estado-Membro a que o responsável pelo tratamento está sujeito" (Artigo 17(3)(b)). O RGPD reconhece que as organizações podem ser obrigadas a reter dados.Where there are legitimate grounds for continued processing and data retention, such as 'for compliance with a legal obligation, which requires processing by Union or Member State law to which the controller is subject' (Article 17(3)(b)), the GDPR recognizes that organizations may be required to retain data. No entanto, você deve ter a certeza de que está envolvido em contato com a assessoria legal, para garantir que o aterramento da retenção seja avaliado em relação aos direitos e às suas expectativas, no momento em que os dados foram coletados, etc.You should, however, make sure you engage your legal counsel to ensure that the grounds for retention are weighed against the rights and freedoms of the data subjects, their expectations at the time the data was collected, etc.

O RGPD lida com criptografia?Does the GDPR deal with encryption?

A criptografia é identificada na RGPD como uma medida de proteção que processa dados pessoais ininteligíveis quando eles forem afetados por uma violação.Encryption is identified in the GDPR as a protective measure that renders personal data unintelligible when it is affected by a breach. Portanto, o uso ou não da criptografia pode afetar os requisitos para a notificação de uma violação de dados pessoais.Therefore, whether or not encryption is used may impact requirements for notification of a personal data breach. O RGPD também aponta para a criptografia como uma medida técnica ou organizacional adequada em alguns casos, dependendo do risco.The GDPR also points to encryption as an appropriate technical or organizational measure in some cases, depending on the risk. A criptografia também é um requisito do Padrão de Segurança de dados do setor de cartão de crédito e parte das diretrizes de conformidade estritas específicas para o setor de serviços financeiros.Encryption is also a requirement through the Payment Card Industry Data Security Standard and part of the strict compliance guidelines specific to the financial services industry. Os produtos e serviços da Microsoft, como o Azure, o Dynamics 365, o Enterprise Mobility + Security, o Office Microsoft 365, o banco de dados SQL Server/Azure SQL e o Windows 10 oferecem criptografia robusta para dados em trânsito e dados em repouso.Microsoft products and services such as Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, and Windows 10 offer robust encryption for data in transit and data at rest.

Como o RGPD altera a resposta de uma organização a violações de dados pessoais?How does the GDPR change an organization's response to personal data breaches?

O RGPD alterará os requisitos de proteção de dados e tomará obrigações mais estritas para processadores e controladores em relação a notificações de violações de dados pessoais.The GDPR will change data protection requirements and make stricter obligations for processors and controllers regarding notice of personal data breaches. Sob a nova regulamentação, o processador deve notificar o controlador de dados de uma violação de dados pessoal, depois de ter ciência, sem atrasos inesperados.Under the new regulation, the processor must notify the data controller of a personal data breach, after having become aware of it, without undue delay. Depois de conhecer um vazamento de dados pessoal, o controlador deve notificar a autoridade de proteção de dados relevante em até 72 horas.Once aware of a personal data breach, the controller must notify the relevant data protection authority within 72 hours. Se a violação provavelmente resultar em um alto risco para os direitos e as liberdade das pessoas, os controladores também precisarão notificar as pessoas afetadas sem atrasos indesejados.If the breach is likely to result in a high risk to the rights and freedoms of individuals, controllers will also need to notify impacted individuals without undue delay. As diretrizes adicionais neste tópico estão sendo elaboradas pelo Grupo de Trabalho do Artigo 29 da UE.Additional guidance on this topic is being developed by the EU's Article 29 Working Party.

Os produtos e serviços da Microsoft, como o Azure, o Dynamics 365, o Enterprise Mobility + Security, o Microsoft Office 365 e o Windows 10, têm soluções disponíveis para ajudar você a detectar e avaliar ameaças e violações de segurança e cumprir as obrigações de notificação de violações do RGPD.Microsoft products and services—such as Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365, and Windows 10—have solutions available today to help you detect and assess security threats and breaches and meet the GDPR's breach notification obligations.

Recursos adicionaisAdditional resources