Responder a solicitudes de derechos del interesado (DSR) para Microsoft Dynamics 365 Project Operations

En esta guía se proporcionan recursos sobre cómo usar los productos, servicios y herramientas administrativas de Microsoft para ayudar a nuestros clientes responsables a encontrar y actuar sobre los datos personales para responder a las solicitudes de Derechos del Interesado (DSR) de Microsoft Dynamics 365 Project Operations. En concreto, la información incluye cómo buscar, acceder y actuar sobre la información personal o los datos personales que residen en la nube de Microsoft. Esta guía le ayuda con el siguiente proceso:

• Descubrir: use las herramientas de búsqueda y detección para buscar más fácilmente datos de clientes que puedan ser objeto de una solicitud de DSR. Después de recopilar documentos potencialmente relevantes, puede realizar una o varias de las acciones de DSR descritas en los pasos siguientes para responder a la solicitud. Como alternativa, puede determinar que la solicitud no cumple las directrices de su organización para responder a las solicitudes de DSR.
• Access: recuperar datos personales que residen en Microsoft Cloud y, si se solicita, realice una copia de él que esté disponible para el interesado.
• Rectificar: haga cambios o implemente otras acciones solicitadas en los datos personales, si procede.
• Restrict: Restrinja el procesamiento de datos personales, ya sea quitando licencias de varios servicios en línea o desactivando los servicios deseados siempre que sea posible.
• Eliminar: quite de manera permanente la información personal que se encuentra en Microsoft Cloud.
• Exportar/Recibir (Portabilidad): proporcione una copia electrónica (con una forma de lectura mecánica) de los datos personales o información personal al interesado.

Esta guía describe los procedimientos técnicos que puede llevar a cabo una organización poseedora de los datos para responder a una solicitud de DSR sobre datos personales en Microsoft Cloud.

Para obtener más información sobre los derechos de los interesados, como el Reglamento general de protección de datos (RGPD) de la Unión Europea y la Ley de Privacidad de California Consumer (CCPA), consulte California Consumer Ley de privacidad.

Cómo esta guía puede ayudarle a cumplir con sus responsabilidades de controlador

La guía, dividida en dos partes, describe cómo usar los productos, servicios y herramientas administrativas de Microsoft para ayudarlo a encontrar y actuar sobre los datos en Microsoft Cloud en respuesta a las solicitudes de los titulares de los datos que están ejerciendo sus derechos bajo el RGPD. La primera parte aborda los datos personales que se incluyen en los datos del cliente. Le sigue una parte que aborda otros datos personales seudonimizados capturados en registros generados por el sistema.

• Parte 1: Responder a las solicitudes de DSR para los datos personales incluidos en los datos de los clientes: la parte 1 de esta guía describe cómo acceder, rectificar, restringir, eliminar y exportar datos personales de Dynamics 365 Project Operations (software como servicio) que se procesan como parte de los datos del cliente que proporciona al servicio en línea.
• Part 2: Responder a solicitudes de DSR para datos seudonimizados: cuando se usa Dynamics 365 Project Operations, Microsoft genera información (denominada en este documento como registros generados por el sistema) para proporcionar el servicio. Esta información se limita a la huella de uso dejada por los usuarios finales para identificar sus acciones en el sistema. Aunque estos datos no pueden atribuirse a un titular de datos específico sin el uso de información adicional, algunos de ellos pueden considerarse personales bajo el RGPD. En la parte 2 de esta guía se describe cómo acceder, eliminar y exportar los registros generados por el sistema de Dynamics 365 Project Operations.

Preparándose para las investigaciones de derechos de los sujetos de datos

Cuando los titulares de los datos ejerzan sus derechos y realicen solicitudes, tenga en cuenta los siguientes puntos:

• Identifique correctamente la persona y el rol, como empleado, cliente o proveedor, mediante la información que proporciona el interesado como parte de su solicitud. Esta información puede ser un nombre, un identificador de empleado o un número de cliente, u otro identificador.
• Registre la fecha y hora de la solicitud. (Tiene 30 días para completar la solicitud.)
• Confirme que la solicitud cumple los requisitos de su organización para cumplir o rechazar la solicitud de un titular de datos. Por ejemplo, asegúrese de que la ejecución de la solicitud no entre en conflicto con ninguna otra obligación legal, financiera o reglamentaria que tenga, ni infrinjan los derechos y libertades de otros.
• Asegúrese de que posee la información relacionada con la solicitud.

Parte 1: Guía de solicitudes de derechos del titular de los datos para datos de clientes

Ejecutar DSR contra datos de clientes

Microsoft ofrece la capacidad de acceder, eliminar y exportar determinados datos de clientes a través del portal de Azure y también directamente a través de interfaces de programación de aplicaciones (API) o interfaces de usuario (UI) preexistentes para servicios específicos (también denominados experiencias dentro del producto). En esta guía se describen detalles sobre estas experiencias en el producto para Dynamics 365 Project Operations.

Discover

El primer paso a la hora de responder a una solicitud del interesado (DSR) es encontrar la información personal a la que se refiere la solicitud. Este primer paso: buscar y revisar los datos personales en cuestión, le ayuda a determinar si una solicitud de DSR cumple los requisitos de su organización para respetar o rechazar las solicitudes de DSR. Por ejemplo, después de buscar y revisar la información personal en cuestión, puede determinar que la solicitud no cumple los requisitos de su organización porque puede afectar negativamente a los derechos y libertades de otros.

Después de encontrar los datos, puede realizar la acción específica para satisfacer la solicitud del interesado.

Dataverse proporciona varios métodos para buscar datos personales dentro de los registros, como la Búsqueda Avanzada y la búsqueda de registros. Todas estas funciones le permiten identificar (encontrar) datos personales.

• Búsqueda avanzada
• Buscar registros a través de varios tipos de registros

La arquitectura de Finanzas y Operaciones proporciona varias maneras para buscar datos de clientes. Como administrador de inquilinos, puede realizar las siguientes acciones para buscar datos de clientes:

• Organice los datos de sus clientes de forma que sirva para detectar rápidamente los datos personales. Vea cómo clasificar el inventario de datos para este propósito.
• Use el Informe de búsqueda de personas para encontrar y recopilar datos personales.
• Amplíe el Informe de búsqueda de personas (para hacerlo, cree una entidad o amplíe una entidad existente).
• Use características de búsqueda y filtro para buscar datos personales específicos y exportar esos datos mediante la funcionalidad de exportación de Microsoft Office, o imprima esa información en un PDF mediante extensiones del explorador.
• Cree un formulario personalizado que busque y exporte datos personales.
• Cree un portal o sitio web externo que permita a un cliente autenticado ver sus datos personales.

Acceso

Después de encontrar los datos de los clientes que contienen datos personales que pueden responder a una DSR, usted y su organización deciden qué datos proporcionar al interesado. Puede proporcionarles una copia del documento real, una versión redactada correctamente o una captura de pantalla de las partes que considere adecuadas para compartir. Para cada una de estas respuestas a una solicitud de acceso, debe recuperar una copia del documento u otro elemento que contenga los datos pertinentes a dicha solicitud. Al proporcionar una copia al interesado, es posible que tenga que quitar o redactar información personal sobre otros interesados y cualquier información confidencial.

Puede exportar datos de clientes en Dataverse mediante las funcionalidades completas de exportación de entidades. Puede exportar datos de cliente a un archivo estático de Excel para facilitar una solicitud de portabilidad de datos. Mediante el uso de Excel, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardarlos en un formato legible por máquina de uso común, como .csv o .xml. También puede exportar registros a través de la API web de Microsoft Dataverse.

Puede exportar datos de clientes en la arquitectura de finanzas y operaciones mediante las funcionalidades completas de exportación de entidades. Gestión de datos y entidades de integración permiten que el administrador del arrendatario use entidades proporcionadas, cree entidades nuevas o amplíe las entidades existentes para una exportación repetible de datos personales a Excel o a una serie de otros formatos comunes a través de Trabajos de importación y exportación de datos. Como alternativa, muchas listas se pueden exportar a un archivo estático de Excel para facilitar una solicitud de portabilidad de datos. Al exportar datos de clientes a Excel, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardar el archivo en un formato que se usa habitualmente, legible por máquina, como .csv o .xml. También puede considerar el uso del informe de búsqueda de personas para proporcionar al interesado los datos que ha clasificado como datos personales.

Rectificar

Si un interesado le pide que rectifique la información personal que se encuentra en los datos de su organización, usted y su organización deben determinar si procede satisfacer la solicitud. La rectificación de los datos puede incluir la realización de acciones como editar, redactar o quitar datos personales de un documento u otro tipo o elemento.

Dataverse proporciona los siguientes métodos para corregir datos de clientes inexactos o incompletos o borrar los datos de los clientes:

• Busque datos de clientes utilizando las capacidades mencionadas en la sección "Descubrir" y edite directamente los datos dentro de Dataverse. Puede realizar modificaciones en un solo nivel de fila o modificar varias filas directamente.
• Mediante la edición masiva de varios registros, puede usar el complemento Microsoft Office para exportar datos a Excel, realizar los cambios y, a continuación, importar los datos modificados de Excel en Dataverse.

En la arquitectura de Finanzas y Operaciones, también puede utilizar herramientas de personalización, pero la decisión e implementación son su responsabilidad.

Nota breve sobre cómo modificar las entradas de las transacciones comerciales

Los registros transaccionales, como las entradas generales, de clientes y de impuestos, son esenciales para la integridad de un sistema de planificación de recursos empresariales (ERP). Los datos personales que forman parte de una transacción financiera o de otro tipo se conservan "tal cual" para el cumplimiento de las leyes financieras (por ejemplo, las leyes fiscales), la prevención del fraude (como la pista de auditoría de seguridad) o el cumplimiento de las certificaciones del sector. Por lo tanto, Dynamics 365 Project Operations restringe la modificación de datos en dichos registros.

Restringir

Es posible que los interesados soliciten que restrinja el procesamiento de sus datos personales.

Cuando recibe una solicitud de un interesado para restringir el procesamiento de datos del cliente, puede extraer fácilmente los datos de cliente afectados del servicio en línea y almacenarlos en un contenedor independiente (storage local o un servicio web independiente con funcionalidades de aislamiento de datos) que está aislado de las funciones de procesamiento que ofrece cualquier aplicación en la nube.

Eliminar

El "derecho al olvido" mediante la eliminación de los datos personales de los datos de cliente de una organización es una de las principales protecciones contempladas en el RGPD. La eliminación de datos personales incluye los registros generados por el sistema, pero no la información del registro de auditoría.

Cuando un interesado le pida que elimine sus datos de cliente, tenga en cuenta estas opciones:

• Para editar de forma masiva varios registros en Dataverse, use el complemento Microsoft Office para exportar datos a Excel, realice los cambios y, a continuación, importe los datos modificados de Excel de nuevo en el servicio en línea.
• Para eliminar los datos del cliente almacenados en cualquier campo, busque los datos que desea eliminar y, a continuación, elimine manualmente el elemento de datos que contiene los datos del cliente de destino. Por ejemplo, puede emplear una eliminación rígida en el registro de contacto que representa al interesado y otros registros que contienen datos personales.

Como alternativa, en la arquitectura de finanzas y operaciones, puede usar herramientas de personalización para borrar o modificar los datos del cliente.

Debe ser administrador del inquilino para eliminar un usuario del mismo.

Exportar

El "derecho de portabilidad" de datos permite que un titular de los datos solicite una copia de sus datos personales en formato electrónico (es decir, en un "formato estructurado, de uso frecuente, legible por máquinas e interoperable") que se pueda transmitir a otro controlador de datos.

Para responder a una solicitud de portabilidad de datos, puede exportar datos de clientes en Dataverse mediante las funcionalidades completas de exportación de entidades. Puede exportar datos de cliente a un archivo estático de Excel para facilitar una solicitud de portabilidad de datos. Mediante el uso de Excel, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardarlos en un formato legible por máquina de uso común, como .csv o .xml.

La arquitectura de finanzas y operaciones ofrece gestión de datos y entidades de integración que habilitan entidades predeterminadas, entidades recién creadas o entidades extendidas para una exportación repetible de datos personales a Excel o a una serie de otros formatos comunes a través de trabajos de importación y exportación de datos. Como alternativa, muchas listas se pueden exportar a un archivo estático de Excel para facilitar una solicitud de portabilidad de datos. Al exportar datos de clientes a Excel de esta manera, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardar el archivo como un formato legible habitualmente, como .csv o .xml.

Puede usar el informe de búsqueda de personas para proporcionar al interesado datos que clasificó como datos personales.

Debe ser administrador del inquilino para exportar datos de usuarios del mismo.

Parte 2: Registros generados por el sistema

Microsoft también le proporciona la capacidad de acceder, exportar y eliminar registros generados por el sistema que podrían ser personales en la amplia definición del RGPD de "datos personales". Entre los ejemplos de registros generados por el sistema que podrían ser personales en el RGPD se incluyen:

• Datos de uso de productos y servicios, como registros de actividad del usuario
• Solicitudes de búsqueda de usuarios y datos de consultas.
• Datos generado por productos y servicios como un producto de la funcionalidad y la interacción del sistema por usuarios u otros sistemas

Ejecución de DSR en registros generados por el sistema

• System-Generated registra los procesos de solicitudes de derechos del interesado para Dynamics 365 Project Operations