Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Según el Reglamento General de Protección de Datos (RGPD), los controladores de datos deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Dynamics 365 y Power Platform que requiera necesariamente la creación de un DPIA por parte de un controlador de datos que use estos servicios. En su lugar, si se requiere un DPIA depende de los detalles y el contexto de cómo el controlador de datos implementa, configura y usa Dynamics 365 o Power Platform. En cualquier caso, inicie un DPIA al principio de la vida útil de un proyecto y ejecútelo en paralelo al proceso de planeamiento y desarrollo.
En este artículo se proporciona a los controladores de datos información sobre Dynamics 365 y Power Platform que ayuda a determinar si necesitan un DPIA y, si es así, qué detalles incluir.
Nota:
Microsoft no proporciona ningún asesoramiento legal en este artículo. Este artículo solo tiene fines informativos. Trabaje con sus responsables de privacidad (y/o responsable de protección de datos (DPO) cuando lo designe) y/o asesores legales para determinar la necesidad y el contenido de los DPIA relacionados con el uso de Microsoft Dynamics 365, Power Platform o cualquier otro servicio en línea de Microsoft.
Para ver las definiciones de terminología del RGPD, consulte Reglamento general de protección de datos. Para obtener información general sobre los DPIA en virtud del RGPD, consulte Evaluación del impacto de la protección de datos para el RGPD.
Parte 1: determinar si se necesita una EIPD
Para determinar si se necesita una DPIA, tenga en cuenta los factores de riesgo del artículo 35 junto con cualquier otro factor relevante a la luz de su implementación y uso específicos de Dynamics 365 y Power Platform. En la tabla siguiente se describen estos factores en el contexto de Dynamics 365 y Power Platform.
| Factor de riesgo | Información relevante sobre Dynamics 365 y Power Platform |
|---|---|
| Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el procesamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física; | Algunos servicios de Dynamics 365 y Power Platform realizan cierto procesamiento automatizado de datos, como la puntuación de clientes potenciales o de oportunidades (por ejemplo, predecir la probabilidad de que se produzca una venta). Sin embargo, los servicios Dynamics 365 y Power Platform no están diseñados para realizar el procesamiento en el que se basan las decisiones que producen efectos legales o similares en las personas. Sin embargo, dado que Dynamics 365 y Power Platform son servicios altamente personalizables, podría configurarlos potencialmente para que se usen para dicho procesamiento. Tome esta determinación en función del uso de Dynamics 365 y Power Platform. |
| Procesamiento a gran escala1 de categorías especiales de datos (datos personales que revelan orígenes raciales o étnicos, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos utilizados para identificar de forma única a una persona física, datos relacionados con la salud o datos relativos a la vida sexual o orientación sexual de una persona física), o de datos personales relacionados con condenas y delitos penales; | los servicios Dynamics 365 y Power Platform no están diseñados para procesar categorías especiales de datos personales a gran escala. Sin embargo, puede usar Dynamics 365 y Power Platform para procesar las categorías especiales enumeradas de datos. Además, Dynamics 365 y Power Platform son servicios altamente personalizables que le permiten realizar un seguimiento o procesar datos personales, incluidas categorías especiales de datos personales. Pero como procesador de datos, Microsoft no tiene ningún control sobre dicho uso y normalmente tiene poca o ninguna información sobre dicho uso. |
| Supervisión sistemática de un área accesible públicamente a gran escala. | Dynamics 365 y Power Platform no están diseñados para llevar a cabo ni facilitar dicha supervisión a gran escala. Sin embargo, podría usarlos para procesar los datos recopilados a través de dicha supervisión. Dynamics 365 y Power Platform son servicios altamente personalizables que permiten realizar un seguimiento o procesar cualquier tipo de datos, incluidos los datos de supervisión. Como procesador de datos, Microsoft no tiene control sobre dicho uso y tiene poca o ninguna información sobre dicho uso. Es responsabilidad suya determinar los usos adecuados de los datos. |
Nota:
1 Con respecto a los criterios de que el tratamiento sea a "gran escala", el considerando 91 del RGPD aclara que: "El procesamiento de datos personales no debe considerarse a gran escala si el tratamiento se refiere a datos personales de pacientes o clientes por parte de un médico individual, otro profesional sanitario o abogado. En tales casos, una evaluación del impacto de la protección de datos no debe ser obligatoria".
Parte 2: Contenido de una EIPD
Como se describe en la introducción a pppa, el artículo 35, apartado 7, del RGPD exige que una DPIA especifique los fines del procesamiento y una descripción sistemática del procesamiento previsto. La tabla siguiente contiene información sobre Dynamics 365 y Power Platform que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles proporcionados en esta tabla, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de datos de Dynamics 365 o Power Platform.
| Elementos de un EIPD | Información relevante sobre Dynamics 365 y Power Platform |
|---|---|
| Finalidades del tratamiento | El controlador que implementa, configura y usa Dynamics 365 y Power Platform determina los propósitos del procesamiento de datos. Según lo especificado por los Términos del producto y el Complemento de protección de datos de productos y servicios de Microsoft (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente servicios en línea de acuerdo con las instrucciones documentadas del cliente. Como se detalla en los Términos del productoy el Complemento de protección de datos de productos y servicios (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones empresariales. Microsoft es el responsable del procesamiento de datos personales para admitir estas operaciones empresariales específicas. Por lo general, Microsoft agrega datos personales antes de usarlos para operaciones empresariales, lo que elimina la capacidad de Microsoft para identificar individuos específicos. Microsoft usa datos personales en la forma menos identificable que admite el procesamiento necesario para las operaciones empresariales. Dynamics 365 es una plataforma en línea para el procesamiento que cuenta con varios servicios en línea discretos, cada uno de los cuales tiene distintos propósitos de procesamiento. Puede encontrar descripciones de cada oferta de servicio de Dynamics 365 en la página Dynamics 365 y en la oferta de servicio Power Platform en la página de Power Platform. Microsoft no usa datos de clientes ni información derivada de ellos para la generación de perfiles o para fines publicitarios o comerciales similares. Dynamics 365 y Power Platform procesan datos personales solo para proporcionar a los clientes sus servicios en línea, incluidos los fines compatibles con la prestación de esos servicios. |
| Categorías de datos personales procesados |
Datos de cliente: todos los datos, incluidos archivos de texto, sonido, vídeo o imagen y software, que los clientes proporcionan a Microsoft o que se proporcionan en nombre de los clientes mediante el uso de Microsoft servicios en línea. Se incluyen los datos que los clientes cargan para su almacenamiento o procesamiento, así como las personalizaciones. Datos generados por el servicio: datos que Microsoft genera al operar un servicio, como datos de uso o rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft. Datos de servicios profesionales: todos los datos, incluidos todos los archivos de texto, sonido, vídeo, imagen o software proporcionados a Microsoft por o en nombre del Cliente (o que el Cliente autoriza a Microsoft a obtener de un Producto) u obtenidos o procesados de otro modo por o en nombre de Microsoft a través de una interacción con Microsoft para obtener servicios profesionales. Para obtener más información sobre los datos procesados por Dynamics 365 y Power Platform, consulte los Términos del producto y el Complemento de protección de datos de productos y servicios de Microsoft (DPA). |
| Retención de datos | Microsoft conserva los datos del cliente mientras dure el derecho del cliente a usar el servicio, hasta que todos los datos del cliente se eliminen o devuelvan de acuerdo con las instrucciones del cliente o los términos de los Términos del producto y el Anexo de protección de datos de productos y servicios (DPA). Durante el término de la suscripción del cliente, el cliente puede acceder a los datos del cliente almacenados en cada servicio en línea y extraerlos. Microsoft normalmente conserva los datos de cliente almacenados en el Servicio en línea en una cuenta de función limitada durante 90 días después de la expiración o finalización de la suscripción del cliente para que el cliente pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft deshabilita la cuenta de cliente y elimina los datos del cliente. El cliente puede eliminar los datos del cliente y los datos seudónimos en cualquier momento mediante las funcionalidades descritas en Dynamics 365 y la Guía de derechos del interesado de Power Platform. |
| Ubicación y transferencias de datos personales | Los clientes pueden aprovisionar datos de clientes en reposo dentro de regiones geográficas especificadas, sujetos a ciertas excepciones, tal como se establece en el Anexo de protección de datos de productos y servicios (DPA). Para obtener más información sobre las implementaciones de servicio y la residencia de datos, visite el Centro de confianza de Microsoft y un artículo de Dynamics 365 y Power Platform sobre la ubicación y la disponibilidad de datos en Microsoft Dynamics 365 y la documentación de residencia de datos de Power Platform y Dynamics 365 y el producto Microsoft Power Platform informes de disponibilidad. En el caso de los datos personales transferidos fuera del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft garantiza que las transferencias de datos personales a un tercer país o región o a una organización internacional estén sujetas a las medidas de seguridad adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft en virtud de las cláusulas contractuales Standard para procesadores y otros contratos modelo, Microsoft sigue cumpliendo los términos del Marco de privacidad de datos. |
| Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los objetivos | Dicha evaluación depende de las necesidades y los propósitos del tratamiento del controlador de datos. Microsoft toma medidas como la agregación de datos personales utilizados por Microsoft para admitir operaciones empresariales que admitan la prestación de los servicios, lo que minimiza el riesgo de dicho procesamiento para los interesados que usan el servicio. En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos. |
| Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos | Los principales riesgos para los derechos y libertades de los interesados por el uso de Dynamics 365 o Power Platform dependen de cómo y en qué contexto implementa, configura y usa el controlador de datos. Microsoft toma medidas como la agregación de datos personales cuando se usan para admitir operaciones empresariales, lo que reduce el riesgo de dicho procesamiento para los interesados que usan el servicio. Sin embargo, al igual que con cualquier servicio, los datos personales contenidos en el servicio podrían estar en riesgo de acceso no autorizado o divulgación involuntaria. A continuación se describen las medidas que Microsoft toma para abordar estos riesgos. |
| Uso compartido de datos con subprocesadores terceros | Microsoft comparte datos con terceros que actúan como nuestros subprocesadores (según se define en el RGPD) para admitir funciones como el soporte técnico y el cliente, el mantenimiento del servicio y otras operaciones. Los subprocesadores a los que Microsoft transfiere datos de cliente, datos de soporte técnico o datos personales firman contratos por escrito con Microsoft que no son menos protectores que los términos del Addendum de protección de datos de productos y productos y servicios (DPA). Todos los sub procesadores de terceros con los que se comparten los datos de los clientes de los servicios centrales en línea de Microsoft están incluidos en la lista de sub contratistas de servicios en línea. |
| Derechos del titular de los datos (DSR) | Al operar como procesador, Microsoft pone a disposición de los clientes (responsables del tratamiento de datos) los datos personales de sus titulares y la capacidad de cumplir las solicitudes de los titulares de los datos cuando éstos ejercen sus derechos en virtud de la GDPR. Microsoft lo hace de forma coherente con la funcionalidad del producto y nuestro rol como procesador. Si Microsoft recibe una solicitud de los interesados del cliente para ejercer uno o varios de sus derechos en virtud del RGPD, redirigiremos al interesado para que realice la solicitud directamente al responsable de los datos. Consulte la guía de solicitudes de interesados de Dynamics 365 y Power Platform para obtener información para los controladores de datos sobre cómo admitir los derechos del interesado mediante las funcionalidades de Dynamics 365 y Power Platform. Por lo general, Microsoft agrega datos personales antes de usarlos para operaciones empresariales y no está en condiciones de identificar los datos personales de una persona específica en el agregado. Esto reduce el riesgo de privacidad para el individuo. Cuando Microsoft no puede identificar a la persona, no puede admitir los derechos del interesado para el acceso, la eliminación, la portabilidad o la restricción o objeción del procesamiento. |
| Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. | Microsoft se compromete a ayudar a proteger la seguridad de los datos del cliente. Las medidas de seguridad que Microsoft toma se describen en detalle en los Términos del producto. Microsoft cumple con estrictas normas de seguridad y una metodología de protección de datos líder en la industria. Microsoft mejora continuamente sus sistemas para hacer frente a las nuevas amenazas. Encontrará más información sobre la gobernanza de la nube y las prácticas de privacidad en la página Información general sobre el cumplimiento del Centro de confianza de Microsoft . Microsoft toma medidas técnicas y organizativas razonables y adecuadas para proteger los datos personales que trata. Estas medidas incluyen, entre otras, directivas y prácticas de privacidad internas, compromisos contractuales y certificaciones estándar internacionales y regionales. Encontrará más información en la página Privacidad del Centro de confianza. Para obtener una lista detallada de los controles administrados por Microsoft (controles técnicos y de procesos empresariales) para la seguridad implementada por Dynamics 365 y Power Platform, visite el Portal de confianza de servicios. Además, cuando Microsoft actúa como procesador de datos, cumple con todas las demás obligaciones del RGPD que se aplican a los procesadores de datos. Cuando Microsoft procesa datos personales para sus operaciones empresariales, cumple con las obligaciones del RGPD que se aplican a los controladores de datos. |