Compromissos da Microsoft referentes ao RGPD perante clientes de produtos de software enterprise geralmente disponíveis

Introdução

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia estabelece uma norma importante no mundo todo referente aos direitos de privacidade, segurança da informação e conformidade. Na Microsoft, nós acreditamos que a privacidade é um direito fundamental e que o RGPD é um importante avanço para proteger e permitir direitos de privacidade aos indivíduos.

A Microsoft compromete-se a cumprir o RGPD, bem como fornecer uma gama de produtos, documentação e recursos para auxiliar os nossos clientes no cumprimento das suas obrigações de conformidade no âmbito do RGPD. A seguir, apresentamos uma descrição dos compromissos contratuais da Microsoft com seus clientes com relação aos dados pessoais coletados de software enterprise. Para software licenciado de programas de Licenciamento Comercial da Microsoft, consulte diretamente o DPA (Adendo de Proteção de Dados) de Produtos e Serviços da Microsoft em http://aka.ms/dpa)

A Microsoft estabelece compromissos com seus clientes relacionados ao RGPD?

Sim. O RGPD exige que controladores (como organizações e desenvolvedores que usam os serviços enterprise online da Microsoft) utilizem apenas processadores (como a Microsoft) que processem dados pessoais em nome do controlador e forneçam garantias suficientes para atender às principais exigências do RGPD. A Microsoft fornece esses compromissos a todos os clientes dos programas de Licenciamento Comercial da Microsoft no DPA. Clientes de outro software enterprise geralmente disponível licenciado pela Microsoft ou por nossas afiliadas também aproveitam os benefícios dos compromissos da Microsoft referentes ao RGPD, conforme descrito nesta notificação, à medida que o software processar dados pessoais.

Onde posso encontrar os compromissos contratuais da Microsoft referentes ao RGPD?

Você pode encontrar os compromissos contratuais da Microsoft em relação ao RGPD (Termos do RGPD) no anexo do DPA denominado "European Union General Data Protection Regulation Terms" (Termos do Regulamento Geral de Proteção de Dados da União Europeia). Esses termos comprometem a Microsoft com os requisitos dos processadores no Artigo 28 do RGPD e em outros artigos relevantes do RGPD.

A Microsoft estende os Termos do RGPD a todos os clientes de produtos de software enterprise geralmente disponíveis licenciados por nós ou por nossas afiliadas no âmbito dos termos de licença para software Microsoft, em vigor a partir de 25 de maio de 2018, independentemente da versão aplicável do software enterprise, à medida que a Microsoft for a processadora ou subprocessadora de dados pessoais com relação ao referido software e durante o período em que a Microsoft continuar a oferecer ou prestar suporte para a versão. Os detalhes referentes ao suporte estão disponíveis na Política de Ciclo de Vida da Microsoft, em https://support.microsoft.com/lifecycle.

Para fins de esclarecimento, podem se aplicar compromissos distintos ou em menor número com relação a um software beta ou de visualização, um software que tenha sido modificado substancialmente ou qualquer software licenciado pela Microsoft ou por nossas afiliadas que não seja disponibilizado para o público em geral ou que de outra forma não seja licenciado de acordo com os termos de licença para software Microsoft. Alguns produtos podem coletar e enviar telemetria ou outros dados à Microsoft por padrão; a documentação do produto fornece informações e instruções quanto à maneira de desabilitar ou configurar essa coleta de telemetria.

Que compromissos constam nos Termos do RGPD?

Os Termos do RGPD da Microsoft refletem os compromissos exigidos dos processadores segundo o artigo 28 do RGPD. O artigo 28 exige que os processadores se comprometam a:

  • utilizar apenas subprocessadores com a autorização do controlador e se responsabilizar por seus subprocessadores;
  • processar dados pessoais apenas com base nas instruções do controlador, inclusive com relação a transferências;
  • garantir que as pessoas que processam os dados pessoais estejam comprometidas com a confidencialidade;
  • implementar medidas organizacionais e técnicas adequadas para garantir um nível de segurança de dados pessoais adequado ao risco;
  • auxiliar o controlador em suas obrigações de responder às solicitações dos titulares dos dados para exercer seus direitos referentes ao RGPD;
  • atender aos requisitos de assistência e notificação de violação do RGPD;
  • auxiliar o controlador com consulta e avaliações de impacto relacionadas a proteção de dados junto às autoridades fiscalizadoras;
  • excluir ou devolver os dados pessoais ao final da prestação dos serviços; e
  • fornecer ao controlador a comprovação de conformidade com o RGPD.