Decreto Real Espanhol 1720/2007, Lei Orgânica Espanhola 15/1999 (LOPD)

Visão Geral do Decreto Real Espanhol 1720/2007, lei orgânica da Espanha 15/1999

A AEPD é a autoridade pública que supervisiona a conformidade com a Lei Orgânica 15/1999 da Espanha para Proteção de Dados Pessoais (Ley Orgánica 15/1999 de Protección de datosou LOPD), incluindo a transferência de dados entre fronteiras internacionais. Em 2014, o AEPD examinou os termos e condições da Microsoft aplicáveis ao Microsoft Azure, o Dynamics 365 e o Office 365 cobertos por Cláusulas Modelo da UE e emitiram uma resolução determinando que esses termos forneçam garantias adequadas para os clientes migrarem dados pessoais para esses serviços.

O título VIII do Decreto Real 1720/2007 estabelece requisitos rigorosos para processar dados pessoais, incluindo uma lista específica de medidas de segurança básicas, intermediárias e de alto nível que devem ser implementadas. A Microsoft manteve uma empresa de auditoria independente na Espanha, A BDO Auditors, para avaliar a conformidade do Microsoft Azure e do Office 365 com os requisitos de alto nível e a conformidade do Microsoft Dynamics 365 com os requisitos de nível intermediário estabelecidos no Decreto Real 1720/2007. Com base em entrevistas, visitas a instalações e uma revisão das medidas de segurança e dos controles ambientais e físicos, o auditor determinou que os sistemas de informações, os recursos e o processamento de dados do Microsoft Azure e do Office 365 atendem aos padrões de alto nível sem pontos que precisem ser corrigidos.

Microsoft e Decreto Real Espanhol 1720/2007, lei orgânica da Espanha 15/1999

A Microsoft foi o primeiro provedor de serviços de nuvem dae hiper escala a receber, por benefício dos seus clientes, uma autorização do órgão de proteção de dados espanhol (Agencia Española de Protección de Datos, ou AEPD) por atender aos altos padrões que regem a transferência de dados internacional dentro da Lei Orgânica Espanhola 15/1999 (Ley Orgánica 15/1999 de Protección de Datos ou LOPD). A Microsoft também é o primeiro provedor de serviços de nuvem de hiper escala a obter uma certificação de auditoria de terceiros para a conformidade dos serviços online com as medidas de segurança definidas no título VIII do Decreto Real 1720/2007. Essas autorizações permitem aos clientes fazer transferências de dados pessoais para os serviços do Microsoft Azure, do Dynamics 365 e do Office 365 cobertos pelas cláusulas modelo da União Europeia.

Plataformas e serviços em nuvem no escopo da Microsoft

Office 365 e LOPD

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Azure Active Directory, Proteção de Informações do Azure, Bookings, Gerente de Conformidade, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do para a Web, MyAnalytics, complemento da Conformidade Avançada do Office 365, Office 365 Cloud App Security, Grupos do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

Auditorias, relatórios e certificados

Microsoft Azure

Microsoft Office 365

Microsoft Dynamics 365

Perguntas frequentes

Como a atender ao padrão de alto nível beneficia os clientes da Microsoft?

O padrão de alto nível se aplica ao processamento de dados confidenciais, como informações sobre saúde. Os clientes que usam o Microsoft Azure e o Office 365 podem ter a certeza de que seus dados confidenciais estão sendo processados de acordo com o Decreto Real 1720/2007.

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?

Sim. Se a sua organização exigir ou se estiver procurando uma credencial alinhada com a LOPD ou com o Decreto Real 1720/2007, você pode usar a autorização da AEPD e a certificação de medidas de segurança em sua avaliação de conformidade. Entretanto, você é responsável por contratar um assessor para avaliar sua implementação, segundo a implantação no Microsoft Azure, Dynamics 365 ou no Office 365, e pelos controles e processos dentro de sua organização.

Recursos