Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Según el Reglamento General de Protección de Datos (RGPD), los controladores de datos deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Microsoft Azure que requiera necesariamente la creación de un DPIA por parte de un controlador de datos. En su lugar, si se requiere un DPIA depende de los detalles y el contexto de cómo el controlador de datos implementa, configura y usa Microsoft Azure. En cualquier caso, inicie un DPIA al principio de la vida útil de un proyecto y ejecútelo en paralelo al proceso de planeamiento y desarrollo.
En este documento se proporciona a los controladores de datos información sobre Microsoft Azure que les ayuda a determinar si se necesita un DPIA y, si es así, qué detalles incluir.
Nota:
Microsoft no proporciona ningún asesoramiento legal en este artículo. Este artículo solo tiene fines informativos. Los clientes deben trabajar con sus responsables de privacidad (o con el responsable de protección de datos (DPO) cuando lo designen) y/o asesor legal y/o asesores para determinar la necesidad y el contenido de las DPIA relacionadas con su uso de Microsoft Azure o cualquier otro servicio en línea de Microsoft.
Para ver las definiciones de terminología del RGPD, consulte Reglamento general de protección de datos. Para obtener información general sobre los DPIA en virtud del RGPD, consulte Evaluación del impacto de la protección de datos para el RGPD.
Parte 1: determinar si se necesita una EIPD
Para determinar si se necesita un DPIA, un controlador de datos debe tener en cuenta los factores de riesgo del artículo 35, junto con cualquier otro factor pertinente, a la luz de las implementaciones y usos específicos del controlador de Microsoft Azure. En la tabla siguiente se describen estos factores en el contexto de Microsoft Azure.
| Factor de alto riesgo | Información relevante sobre Microsoft Azure |
|---|---|
| Una evaluación sistemática y exhaustiva de los aspectos personales relativos a las personas físicas que se basan en el procesamiento automatizado, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos relativos a la persona física o afectan de forma similar significativa a la persona física. | Los servicios Azure de Microsoft no están diseñados para realizar el procesamiento en el que se basan las decisiones que producen efectos legales o similares en las personas. Sin embargo, dado que Azure es un servicio altamente personalizable, un controlador de datos podría configurar Azure servicios que se usarán para dicho procesamiento. Los controladores deben tomar esta determinación en función de su uso de Azure. |
| Procesamiento a gran escala1 de categorías especiales de datos (datos personales que revelan orígenes raciales o étnicos, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos para identificar de forma única a una persona física, datos relacionados con la salud o datos relativos a la vida sexual o orientación sexual de una persona física), o de datos personales relacionados con condenas y delitos penales. | Microsoft Azure no está diseñado para procesar categorías especiales de datos personales a gran escala. Sin embargo, un controlador de datos podría usar Microsoft Azure para procesar las categorías especiales enumeradas de datos. Microsoft Azure es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar datos personales, incluidas categorías especiales de datos personales. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al controlador de datos determinar los usos adecuados de los datos del controlador de datos. |
| Supervisión sistemática de un área accesible públicamente a gran escala. | Microsoft Azure no está diseñado para llevar a cabo ni facilitar dicha supervisión a gran escala. Sin embargo, un controlador de datos podría usar Azure para procesar los datos recopilados a través de dicha supervisión. Microsoft Azure es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidos los datos de supervisión. Sin embargo, como encargado de los datos, Microsoft no posee ningún control sobre dicho uso y cuenta con poca o ninguna información del mismo. Corresponde al controlador de datos determinar los usos adecuados de los datos del controlador de datos. |
Nota:
1 Con respecto al criterio de que el procesamiento sea a "gran escala", el considerando 91 de la GDPR lo aclara: "El tratamiento de datos personales no debe considerarse a gran escala si se trata de datos personales de pacientes o clientes por parte de un médico, otro profesional de la salud o un abogado. En esos casos, la evaluación del impacto de la protección de datos no debería ser obligatoria".
Parte 2: Contenido de una EIPD
Como se describe en la introducción a pppa, el artículo 35, apartado 7, del RGPD exige que una DPIA especifique los fines del procesamiento y una descripción sistemática del procesamiento previsto. La tabla siguiente contiene información sobre Microsoft Azure que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles proporcionados en la tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de Microsoft Azure.
| Elementos de una EIPD | Información relevante sobre Microsoft Azure |
|---|---|
| Finalidades del tratamiento | El controlador que implementa, configura y usa Microsoft Azure determina los propósitos del procesamiento de datos mediante Microsoft Azure. Según lo especificado por los Términos de productoy el Complemento de protección de datos de productos y servicios (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente los Servicios en línea de acuerdo con las instrucciones documentadas del Cliente. Como se detalla en el anexo estándar de protección de datos de productos y productos y servicios (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones empresariales. Microsoft es el responsable del procesamiento de datos personales para admitir estas operaciones empresariales específicas. Por lo general, Microsoft agrega datos personales antes de usarlos para nuestras operaciones empresariales, lo que elimina la capacidad de Microsoft de identificar individuos específicos y usa datos personales en la forma menos identificable que admitirá el procesamiento necesario para las operaciones empresariales. Microsoft no usará los datos de cliente ni la información derivada de ellos para la generación de perfiles o para fines publicitarios o comerciales similares. Nota: Microsoft Azure es una plataforma en la nube en línea para el procesamiento que se compone de varios servicios en línea discretos, cada uno de los cuales tiene distintos propósitos de procesamiento. Puede encontrar descripciones de cada oferta de servicio de Microsoft Azure en la página de servicios de Azure. Microsoft Azure procesa datos personales solo para proporcionar a los clientes sus servicios en línea incluidos los propósitos compatibles con la prestación de esos servicios, como la personalización, la seguridad, la prevención de fraudes y malware, la resolución de problemas y la mejora. |
| Categorías de datos personales procesados |
Datos de cliente: todos los datos, incluidos todos los archivos de texto, sonido, vídeo o imagen y software, que un cliente proporciona a Microsoft o en nombre de este mediante el uso del servicio enterprise. Los datos de cliente incluyen (1) información identificable de los usuarios (por ejemplo, nombres de usuario e información de contacto en Microsoft Entra ID) y el contenido del cliente que un cliente carga o crea en servicios específicos (por ejemplo, el contenido del cliente en una cuenta de almacenamiento de Azure, el contenido del cliente de una base de datos de Azure SQL o la imagen de máquina virtual de un cliente en Azure Virtual Machines). Datos generados por el servicio: Microsoft genera o deriva estos datos mediante el funcionamiento del servicio, como los datos de uso o rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft. Datos de soporte técnico: Estos datos se proporcionan a Microsoft por o en nombre del cliente (o que el cliente autoriza a Microsoft a obtener de un servicio en línea) a través de una interacción con Microsoft para obtener soporte técnico para los Servicios en línea. Para obtener más información sobre los datos procesados por Azure, consulte los Términos del producto, incluidos el Contrato de procesamiento de datos de productos y servicios (DPA) y el Centro de confianza de Microsoft. |
| Retención de datos | Microsoft conserva y procesa los Datos de cliente durante el derecho del cliente a usar el Servicio en línea y hasta que el Cliente recupere o elimine todos los datos del cliente de acuerdo con los términos de los Términos del productoy del Complemento de protección de datos de productos y servicios (DPA). Durante el período de suscripción del cliente, el cliente puede acceder a los datos de cliente almacenados en cada servicio en línea y extraerlos. Excepto para las pruebas gratuitas y los servicios de LinkedIn, Microsoft conserva los Datos de cliente almacenados en el Servicio en línea en una cuenta de función limitada durante 90 días después de la expiración o finalización de la suscripción del cliente para que el Cliente pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft deshabilita la cuenta del cliente y elimina los datos del cliente. El cliente puede eliminar datos personales de acuerdo con una solicitud del interesado mediante las funcionalidades descritas en la documentación de RGPD de la solicitud del interesado de Azure. |
| Ubicación y transferencias de datos personales | Los clientes pueden aprovisionar datos de clientes en reposo dentro de regiones geográficas especificadas, sujetos a ciertas excepciones, tal como se establece en los Términos del producto y en el Anexo de protección de datos de productos y servicios de Microsoft (DPA). Los detalles adicionales sobre las implementaciones de servicio y la residencia de datos también se pueden encontrar en el Anexo de protección de datos (DPA) de Microsoft a los Términos del producto y en la página web de infraestructura global de Azure. En el caso de los datos personales transferidos fuera del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft garantiza que las transferencias de datos personales a un tercer país o región o a una organización internacional estén sujetas a las medidas de seguridad adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft en virtud de las cláusulas contractuales Standard para procesadores y otros contratos modelo, Microsoft cumple los términos del Marco de privacidad de datos. |
| Uso compartido de datos con subprocesadores terceros | Microsoft comparte datos con terceros que actúan como nuestros subprocesadores (según se define en el RGPD) para admitir funciones como el soporte técnico y el cliente, el mantenimiento del servicio y otras operaciones. Los subprocesadores a los que Microsoft transfiere datos de cliente, datos de soporte técnico o datos personales firman contratos por escrito con Microsoft que no son menos protectores que el Anexo de protección de datos de productos y servicios de Microsoft. Todos los subprocesadores de terceros con los que se comparten los datos de cliente de Los servicios en línea principales de Microsoft se incluyen en la lista Subprocesador de servicios en línea. Todos los subprocesadores de terceros que pueden acceder a datos de soporte técnico (incluidos los datos de cliente que los clientes deciden compartir durante sus interacciones de soporte técnico) se incluyen en la lista de subprocesadores de Servicios en línea. |
| Derechos del titular de los datos (DSR) | Al operar como encargado de los datos, Microsoft pone a disposición del cliente (también conocido como el responsable de los datos) los datos personales de sus interesados y le posibilita realizar las solicitudes de los interesados cuando estos ejerzan sus derechos en virtud del RGPD. Microsoft lo hace de forma coherente con la funcionalidad del producto y su papel como encargado de los datos. Si Microsoft recibe una solicitud de los interesados del cliente para ejercer uno o varios de sus derechos en virtud del RGPD, la solicitud se redirige al controlador de datos. La Guía de solicitudes de los interesados de datos en Azure proporciona una descripción al controlador de datos sobre cómo apoyar los derechos de los sujetos de datos utilizando las capacidades en Azure. Las solicitudes de un interesado para ejercer derechos en virtud del RGPD para los datos personales procesados para respaldar los procesos comerciales legítimos deben dirigirse a Microsoft, como se aclara en la Declaración de privacidad de Microsoft. Por lo general, Microsoft agrega datos personales antes de usarlos para nuestras operaciones empresariales y no está en condiciones de identificar los datos personales de una persona específica en el agregado. Esta acción reduce el riesgo de privacidad para el individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede admitir los derechos del interesado para el acceso, la eliminación, la portabilidad o la restricción o objeción del procesamiento. En la Documentación del RGPD de solicitudes del titular de los datos de Azure, se proporciona una descripción de cómo admitir derechos del titular de los datos con las funciones presentes en Azure. |
| Una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación con los fines | Dicha evaluación depende de las necesidades y los propósitos del tratamiento del controlador de datos. Microsoft toma medidas como la agregación de datos personales utilizados por Microsoft para admitir operaciones empresariales que admitan la prestación de los servicios, lo que minimiza el riesgo de dicho procesamiento para los interesados que usan el servicio. En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos. |
| Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos | Los principales riesgos para los derechos y libertades de los interesados por el uso de Microsoft Azure dependen de cómo y en qué contexto implementa, configura y usa Microsoft Azure. Microsoft toma medidas como la agregación de datos personales utilizados por Microsoft para admitir operaciones empresariales que admitan la prestación de los servicios, lo que minimiza el riesgo de dicho procesamiento para los interesados que usan el servicio. Sin embargo, al igual que con cualquier servicio, el acceso no autorizado o la divulgación involuntaria pueden poner en riesgo los datos personales. Las medidas que Microsoft toma para abordar estos riesgos se describen en los Términos del producto, como se detalla más adelante en este artículo. |
| Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. | Microsoft se compromete a ayudar a proteger la seguridad de los datos del cliente. Las medidas de seguridad que Microsoft toma se describen en detalle en los Términos del producto. Microsoft cumple con estrictas normas de seguridad y una metodología de protección de datos líder en la industria. Microsoft mejora continuamente sus sistemas para hacer frente a las nuevas amenazas. Puede encontrar más información sobre la gobernanza de la nube y las prácticas de privacidad en la página Administración del cumplimiento del Centro de confianza en la nube . Microsoft toma medidas técnicas y organizativas razonables y adecuadas para proteger los datos personales que trata. Estas medidas incluyen, entre otras, directivas y prácticas de privacidad internas, compromisos contractuales y certificaciones estándar internacionales y regionales. Encontrará más información en la página Privacidad del Centro de confianza. Microsoft proporciona materiales de seguridad y privacidad significativos y transparentes orientados al cliente para ayudar a explicar el uso y el procesamiento de datos personales por parte de Microsoft. Se recomienda a los clientes que se pongan en contacto con Microsoft si tienen preguntas. Además, cuando Microsoft actúa como procesador de datos, cumple las disposiciones aplicables del RGPD que se aplican a los procesadores de datos. Cuando Microsoft procesa datos personales para sus operaciones empresariales, cumple con las obligaciones del RGPD que se aplican a los controladores de datos. |