Compromissos da Microsoft referentes ao RGPD perante clientes de produtos de software enterprise geralmente disponíveis

Introdução

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia estabelece uma nova norma global referente aos direitos de privacidade, segurança da informação e conformidade. Na Microsoft, nós acreditamos que a privacidade é um direito fundamental e que o RGPD é um importante avanço para proteger e permitir direitos de privacidade aos indivíduos.

A Microsoft compromete-se a cumprir o RGPD, bem como fornecer uma gama de produtos, documentação e recursos para auxiliar os nossos clientes no cumprimento das suas obrigações de conformidade no âmbito do RGPD. A seguir, apresentamos uma descrição dos compromissos contratuais da Microsoft com seus clientes com relação aos dados pessoais coletados do software enterprise:

A Microsoft estabelece compromissos com seus clientes relacionados ao RGPD?

Sim. O RGPD exige que controladores (como organizações e desenvolvedores que usam os serviços enterprise online da Microsoft) utilizem apenas processadores (como a Microsoft) que processem dados pessoais em nome do controlador e forneçam garantias suficientes para atender às principais exigências do RGPD. A Microsoft adotou a medida proativa de estabelecer esses compromissos com todos os clientes de serviços enterprise online como parte dos seus contratos de assinatura e com clientes de licenciamento por volume como parte de seus contratos enterprise. Clientes de outro software enterprise geralmente disponível licenciado pela Microsoft ou por nossas afiliadas também aproveitam os benefícios dos compromissos da Microsoft referentes ao RGPD, conforme descrito nesta notificação, à medida que o software processar dados pessoais.

Onde posso encontrar os compromissos contratuais da Microsoft referentes ao RGPD?

Os compromissos contratuais da Microsoft referentes ao RGPD estão disponíveis no Adendo de Proteção de Dados de Serviços Online, que fornece os compromissos da Microsoft com a segurança e a privacidade, os termos de processamento de dados e os Termos referentes ao RGPD para serviços hospedados pela Microsoft que os clientes assinam no âmbito de um contrato de licenciamento por volume. Esses termos comprometem a Microsoft com os requisitos dos processadores no artigo 28 do RGPD e em outros artigos relevantes do RGPD.

A Microsoft estende os Termos do RGPD a todos os clientes de produtos de software enterprise geralmente disponíveis licenciados por nós ou por nossas afiliadas no âmbito dos termos de licença para software Microsoft, em vigor a partir de 25 de maio de 2018, independentemente da versão aplicável do software enterprise, à medida que a Microsoft for a processadora ou subprocessadora de dados pessoais com relação ao referido software e durante o período em que a Microsoft continuar a oferecer ou prestar suporte para a versão. Os detalhes referentes ao suporte estão disponíveis na Política de Ciclo de Vida da Microsoft, em https://support.microsoft.com/en-us/lifecycle.

Para fins de esclarecimento, podem se aplicar compromissos distintos ou em menor número com relação a um software beta ou de visualização, um software que tenha sido modificado substancialmente ou qualquer software licenciado pela Microsoft ou por nossas afiliadas que não seja disponibilizado para o público em geral ou que de outra forma não seja licenciado de acordo com os termos de licença para software Microsoft. Alguns produtos podem coletar e enviar telemetria ou outros dados à Microsoft por padrão; a documentação do produto fornece informações e instruções quanto à maneira de desabilitar ou configurar essa coleta de telemetria.

Que compromissos constam nos Termos do RGPD?

Os Termos do RGPD da Microsoft refletem os compromissos exigidos dos processadores segundo o artigo 28 do RGPD. O artigo 28 exige que os processadores se comprometam a:

  • utilizar apenas subprocessadores com a autorização do controlador e se responsabilizar por seus subprocessadores;
  • processar dados pessoais apenas com base nas instruções do controlador, inclusive com relação a transferências;
  • garantir que as pessoas que processam os dados pessoais estejam comprometidas com a confidencialidade;
  • implementar medidas organizacionais e técnicas adequadas para garantir um nível de segurança de dados pessoais adequado ao risco;
  • auxiliar o controlador em suas obrigações de responder às solicitações dos titulares dos dados para exercer seus direitos referentes ao RGPD;
  • atender aos requisitos de assistência e notificação de violação do RGPD;
  • auxiliar o controlador com consulta e avaliações de impacto relacionadas a proteção de dados junto às autoridades fiscalizadoras;
  • excluir ou devolver os dados pessoais ao final da prestação dos serviços; e
  • fornecer ao controlador a comprovação de conformidade com o RGPD.