Responder a pedidos de Direitos de Titulares de Dados (DSR) para dados de clientes Power Apps

Introdução aos Pedidos DSR

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE) fornece direitos a pessoas (conhecidos na regulamentação como titulares de dados) para gerir os dados pessoais que foram recolhidos por um empregador ou outro tipo de agência ou organização (conhecido como controlador de dados ou apenas controlador). Os dados pessoais são definidos de forma muito ampla sob o RGPD como qualquer dado relacionado com uma pessoa natural identificada ou identificável. O RGPD fornece aos titulares de dados o direito de fazer o seguinte, já que está relacionado com os seus dados pessoais:

  • Obter cópias
  • Pedir correções
  • Restringir processamento
  • Eliminá-los
  • Recebê-los em formato eletrónico para que possam ser movidos para outro controlador

Um pedido formal por um titular de dados a um controlador para efetuar uma ação nos seus dados pessoais é denominada de Pedido de Direitos do Titular de Dados (DSR).

Este artigo descreve o modo como a Microsoft está a preparar o GDPR e também fornece exemplos de passos que podem ser adotados para suportar a conformidade com o RGPD ao utilizar Power Apps, Power Automate e Common Data Service. Irá obter informações sobre como utilizar os produtos, serviços e ferramentas administrativas da Microsoft para ajudar os clientes controladores a localizar, aceder e agir em dados pessoais na Microsoft Cloud em resposta a pedidos DSR.

As ações que se seguem são abrangidas neste artigo:

  • Descobrir — utilize as ferramentas de pesquisa e deteção para localizar mais facilmente dados de clientes que possam ser sujeitos a um pedido DSR. Quando são recolhidos documentos potencialmente responsivos, pode efetuar uma ou mais das seguintes ações DSR para responder ao pedido. Alternativamente, poderá determinar que o pedido não corresponde às diretrizes da sua organização para responder a pedidos DSR.

  • Acesso — obtenha dados pessoais que residam na nuvem da Microsoft e, se necessário, disponibilize uma cópia dos dados para o titular dos dados.

  • Corrigir — efetuar alterações ou implementar outras ações pedidas nos dados pessoais, quando aplicável.

  • Restringir — restringir o processamento de dados pessoais, removendo licenças para vários serviços online ou desativando os serviços pretendidos sempre que possível. Também pode remover dados da nuvem Microsoft e mantê-los no local ou noutra localização.

  • Eliminar — remover permanentemente dados pessoais que residem na nuvem da Microsoft.

  • Exportar — fornecer uma cópia eletrónica (num formato legível por máquina) de dados pessoais para o titular dos dados.

Detetar

O primeiro passo para responder a um pedido DSR é localizar os dados pessoais que são o assunto do pedido. Este primeiro passo—localizar e rever os dados pessoais em questão—irá ajudá-lo a determinar se um pedido DSR satisfaz os requisitos da sua organização para honrar ou recusar um pedido DSR. Por exemplo, depois de localizar e rever os dados pessoais problemáticos, poderá determinar que o pedido não corresponde aos requisitos da sua organização, pois fazê-lo poderá afetar adversamente os direitos e as liberdades de outros utilizadores.

Passo 1: Localizar os dados pessoais do utilizador no Power Apps

Abaixo encontra-se um resumo dos tipos de recursos do Power Apps que contêm dados pessoais para um utilizador específico.

Recursos que contêm dados pessoais Objetivo
Ambiente Um ambiente é um espaço para armazenar, gerir e partilhar os dados de negócio, as aplicações e os fluxos da sua organização. Mais informações
Permissões do ambiente Os utilizadores são atribuídos a funções de ambiente para serem concedidos privilégios de criador e administrativo num ambiente. Mais informações
Aplicação de tela Aplicações empresariais utilizadas em várias plataformas podem ser criadas a partir de uma tela em branco e ligadas a mais de 200 origens de dados. Mais informações
Permissões de aplicação de tela As aplicações de tela podem ser partilhadas com utilizadores numa organização. Mais informações
Connection Utilizado por conectores e permissão para conectividade com APIs, sistemas, bases de dados, etc. Mais informações
Permissões de ligação Determinados tipos de ligações podem ser partilhados com utilizadores numa organização. Mais informações
Conector personalizado Os conectores personalizados criados por um utilizador para fornecer acesso a uma origem de dados não oferecida através de conectores padrão do Power Apps. Mais informações
Permissões de conector personalizado Conectores personalizados podem ser partilhados com utilizadores numa organização. Mais informações
Definições de utilizador e aplicação de utilizador do Power Apps O Power Apps armazena várias preferências e definições de utilizador utilizadas para proporcionar experiências de runtime e portal do Power Apps.
Notificações do Power Apps O Power Apps envia vários tipos de notificação aos utilizadores, incluindo o momento em que uma aplicação é partilhada com eles e quando uma operação de exportação do Common Data Service é concluída.
Gateway Os gateways são gateways de dados no local que podem ser instalados por um utilizador para transferir dados de forma rápida e segura entre o Power Apps e uma origem de dados que não esteja na nuvem. Mais informações
Permissões de gateway Os gateways podem ser partilhados com utilizadores numa organização. Mais informações
Aplicações condicionadas por modelo e permissões de aplicações condicionadas por modelo A estrutura da aplicação orientada por modelos é uma abordagem ao desenvolvimento de aplicações centrada em componentes. As aplicações condicionadas por modelo e as respetivas permissões de acesso de utilizador são armazenados como dados na base de dados do Common Data Service. Mais informações

O Power Apps oferece as seguintes experiências para localizar dados pessoais para um utilizador específico:

Para obter passos detalhados sobre como pode utilizar estas experiências para localizar dados pessoais para um utilizador específico para cada um destes tipos de recursos, consulte Responder a Pedidos de Titularidade de Dados (DSR) para exportar dados de clientes do Power Apps.

Depois de localizar os dados, pode efetuar a ação específica para satisfazer o pedido pelo assunto dos dados.

Passo 2: Localizar os dados pessoais do utilizador no Power Automate

As licenças do Power Apps incluem sempre capacidades do Power Automate. Para além de serem incluídas em licenças do Power Apps, o Power Automate também está disponível como um serviço autónomo.

Para obter informações sobre como descobrir dados pessoais armazenados pelo serviço Power Automate, consulte Responder a pedidos de Direitos de Titulares de Dados de RGPD para os dados de cliente do Power Automate.

Importante

É recomendável que os administradores concluam este passo para um utilizador do Power Apps

Passo 3: Localizar os dados pessoais do utilizador em ambientes do Common Data Service

Determinadas licenças do Power Apps, incluindo o Plano de Comunidade do Power Apps, fornecem a capacidade de os utilizadores na sua organização criarem ambientes do Common Data Service e criarem e aplicações no Common Data Service. O Plano da Comunidade do Power Apps é uma licença gratuita que permite que os utilizadores experimentem o Common Data Service num ambiente individual. Consulte a página Preços do Power Apps para as capacidades incluídas em cada licença do Power Apps.

Para obter informações sobre como descobrir dados pessoais armazenados pelo serviço Common Data Service, consulte Responder a pedidos de Direitos de Titulares de Dados (DSR) para os dados de cliente do Common Data Service.

Importante

É recomendável que os administradores concluam este passo para um utilizador do Power Apps.

Retificar

Se um titular de dados lhe pedir para retificar os dados pessoais que residem nos dados da sua organização, o utilizador e a sua organização têm de determinar se é adequado honrar esse pedido. A retificação de dados pode incluir a edição, a retenção ou a remoção de dados pessoais a partir de um documento ou outro tipo de item.

Pode utilizar o Azure Active Directory para gerir as identidades (dados pessoais) dos utilizadores no Power Apps. Os clientes empresariais podem gerir pedidos de retificação DSR utilizando as funcionalidades de edição limitadas num determinado serviço Microsoft. Como processador de dados, a Microsoft não oferece a capacidade de corrigir registos gerados pelo sistema, porque estes refletem atividades factuais e constituem um registo histórico de eventos nos serviços Microsoft. Consulte RGPD: pedidos de titulares de dados (DSRs) para obter mais detalhes.

Restringir

Os assuntos de dados poderão solicitar que restrinja o processamento de dados pessoais. Fornecemos interfaces de programação de aplicações (APIs) e interfaces de utilizador (UIs) pré-existentes. Estas experiências fornecem ao administrador de serviço do Power Platform do cliente empresarial a capacidade de gerir tais DSRs através de uma combinação de exportação e eliminação de dados. Um cliente poderá pedir para:

  • Exportar uma cópia eletrónica dos dados pessoais do utilizador, incluindo:

    • conta(s)
    • registos gerados pelo sistema
    • registos associados
  • Eliminar a conta e os dados associados residentes nos sistemas Microsoft.

Exportar

O "direito da portabilidade de dados" permite que um assunto de dados solicite uma cópia dos seus dados pessoais num formato eletrónico (ou seja, um "formato estruturado, de utilização comum, de leitura de máquina e interoperável") que poderá ser transmitido para outro controlador de dados.

Consulte Responder a pedidos de Direitos de Titulares de Dados (DSR) para exportar dados do cliente do Power Apps para obter mais informações.

Eliminar

O "direito de remoção" através da remoção de dados pessoais de um cliente de uma organização é uma proteção-chave no RGPD. A remoção de dados pessoais inclui registos gerados pelo sistema, mas não as informações de registo de auditoria.

O Power Apps permite que os utilizadores criem aplicações de linha de negócio que são uma parte crucial das operações diárias da sua organização. Quando um utilizador sai da sua organização, necessita de rever manualmente e determinar se pretende eliminar determinados dados e recursos que criados. Os outros dados de cliente serão eliminados automaticamente sempre que a conta do utilizador for eliminada do Azure Active Directory.

Consulte Responder a pedidos de Direitos de Titulares de Dados (DSR) para eliminat dados do cliente do Power Apps para obter mais informações.