Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El reglamento general de protección de datos (RGPD), añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. Puede encontrar más detalles en el artículo resumen del RGPD.
Del mismo modo, la Ley de Privacidad del Consumidor de California (CCPA) proporciona derechos y obligaciones de privacidad a los consumidores de California. Estos derechos incluyen derechos similares a los derechos del interesado del RGPD, como el derecho a eliminar, acceder y recibir (portabilidad) su información personal. La CCPA también prevé casos de divulgación de información, protecciones contra la discriminación en el ejercicio de derechos y requisitos de "cancelación/suscripción" para ciertas transferencias de datos clasificadas como "ventas". Este documento le informa sobre la finalización de solicitudes de interesados en virtud del RGPD al usar productos y servicios de Microsoft.
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Soporte técnico y servicios profesionales de Microsoft
- Office 365
- Familia de Visual Studio
- Windows 365
- Windows
Para ver las definiciones de terminología del RGPD, consulte Reglamento general de protección de datos. Para obtener información sobre el rol de Microsoft como procesador de datos, consulte Microsoft como procesador de datos.
¿Qué es un DSR?
El Reglamento General de Protección de Datos (RGPD) concede derechos a las personas (conocidas en el reglamento como sujetos de datos) para administrar los datos personales que un empleador u otro tipo de agencia u organización (conocido como controlador de datos o simplemente controlador) recopila sobre ellos. El RGPD concede a los interesados derechos específicos sobre sus datos personales. Estos derechos incluyen la obtención de copias de sus datos personales, la solicitud de cambios en ellos, la restricción del procesamiento de los mismos, su eliminación o su recepción en un formato electrónico para que puedan moverlos a otro responsable.
Como controlador, tiene la obligación de considerar rápidamente cada DSR y proporcionar una respuesta sustantiva, ya sea mediante la realización de la acción solicitada o proporcionando una explicación de por qué el controlador no puede dar cabida al DSR. Consulte con sus propios asesores legales o de cumplimiento con respecto a la eliminación adecuada de cualquier DSR determinado.
Es posible que varios procesos participen en la finalización de un DSR, sujetos a las reglas de cumplimiento del RGPD de su organización.
- Detectar: Use herramientas de búsqueda y detección para encontrar más fácilmente los datos de los clientes que podrían estar sujetos a un DSR. Una vez que recopile documentos potencialmente dinámicos, puede realizar una o varias de las acciones de DSR descritas en los pasos siguientes para responder a la solicitud. Como alternativa, puede determinar que la solicitud no cumple las directrices de su organización para responder a los DSR.
- Acceso: Recupere los datos personales que residen en la nube de Microsoft y, si se solicita, realice una copia de los datos a los que el interesado pueda acceder.
- Rectificación: realice cambios o implemente otras acciones solicitadas en los datos personales, si corresponde.
- Restricción: restrinja el tratamiento de datos personales, ya sea al quitar las licencias de distintos servicios de Azure o al desactivar los servicios que quiera, siempre que sea posible. También puede quitar datos de la nube de Microsoft y conservarlos de manera local o en otra ubicación.
- Eliminación: elimine de forma permanente los datos personales que residen en la nube de Microsoft.
- Exportar o recibir (portabilidad): envíe una copia electrónica (en un formato legible por máquina) de datos o información personal al titular de los datos.
En cada sección de las guías específicas del producto se describen los procedimientos técnicos que una organización de controladores de datos puede realizar para responder a una DSR en busca de datos personales en la nube de Microsoft.
Uso de las guías específicas del producto
Cada guía específica del producto consta de dos partes:
- Parte 1: Responder a solicitudes del interesado para los datos del cliente: En la parte 1 se describe cómo acceder, rectificar, restringir, eliminar y exportar datos de aplicaciones en las que ha creado datos. En esta sección se detalla cómo ejecutar DSR tanto en el contenido del cliente como en la información identificable de los usuarios.
- Parte 2: Responder a las solicitudes de los sujetos de datos para los registros generados por el sistema: Cuando se utilizan los servicios empresariales de Microsoft, Microsoft genera cierta información, conocida como registros generados por el sistema, con el fin de proporcionar el servicio. En la parte 2 se describe cómo acceder, eliminar y exportar dicha información.
Descripción de los DSR para las cuentas de servicio de Microsoft Entra ID y Microsoft
Mediante el uso del token directo de directorio extendido (EDDT), los usuarios invitados de un inquilino pueden iniciar DSR entre varios inquilinos. Los DSR iniciados por el usuario se ejecutan en todos los inquilinos donde el administrador de inquilinos correspondiente autoriza al usuario.
El mismo proceso también se aplica a las cuentas de servicio de Microsoft (MSA) en el contexto de los servicios proporcionados a un cliente empresarial. La ejecución de un DSR en una cuenta de MSA asociada a un inquilino de Microsoft Entrasolo pertenece a los datos del inquilino. Además, es importante comprender lo siguiente al administrar cuentas de MSA dentro de un inquilino:
- Si un usuario de MSA crea una suscripción Azure, la suscripción se controla como si fuera un inquilino Microsoft Entra. Por lo tanto, los DSR se limitan dentro del inquilino, como se describió anteriormente.
- Si se elimina una suscripción Azure creada a través de una cuenta de MSA, no afecta a la cuenta de MSA real. Una vez más, como se indicó anteriormente, los DSR que se ejecutan en la suscripción Azure se limitan al ámbito del propio inquilino.
Los usuarios ejecutan DSR en una propia cuenta de MSA, fuera de un inquilino determinado, a través del Panel de privacidad del consumidor.
Consideraciones específicas de DSR
Conclusiones generadas por productos o servicios de Microsoft
Las conclusiones pueden generarse mediante servicios como Viva Personal Insights. Office 365 incluye servicios en línea que proporcionan información a los usuarios y organizaciones que los usan. Los datos generados por estos servicios pueden producir datos personales relevantes para una DSR. Para obtener más información sobre los procesos de DSR específicos del servicio, consulte la sección siguiente.
DSR para registros generados por el sistema
Los registros y los datos relacionados generados por Microsoft pueden contener datos que el RGPD considera personales. No se pueden restringir ni rectificar los datos en los registros generados por el sistema. Los datos de los registros generados por el sistema son acciones fácticas realizadas dentro de la nube de Microsoft y datos de diagnóstico. Las modificaciones comprometerían el historial de acciones y aumentarían los riesgos de fraude y seguridad. Microsoft proporciona la capacidad de acceder, exportar y eliminar registros generados por el sistema que es posible que necesite para completar un DSR. Algunos ejemplos de estos datos son:
- Datos de uso del servicio de productos, como registros de actividad de usuario.
- Solicitudes de búsqueda de usuarios y datos de consultas.
- Datos generados por productos y servicios que resultan de la funcionalidad del sistema y la interacción de los usuarios u otros sistemas.
Para obtener más información sobre los registros generados por el sistema a partir de una exportación de derechos del interesado (DSR), consulte Introducción a los registros generados por el sistema a partir de una exportación de solicitud de interesado (DSR).
Viva Engage
La eliminación de la cuenta de un usuario no quita los registros generados por el sistema para Viva Engage. Para eliminar los datos de estas aplicaciones, consulte uno de los siguientes recursos:
Nubes nacionales
En algunas nubes nacionales, un administrador de TI global necesita eliminar los registros generados por el sistema.
Servicios de Microsoft
Si su organización o usuarios se involucran con Microsoft para recibir soporte técnico relacionado con los productos y servicios de Microsoft, algunos de estos datos podrían contener datos personales. Para más información, vea Solicitudes de interesados del soporte técnico y los servicios profesionales de Microsoft para el RGPD
Productos para los que Microsoft es el controlador
En algunas circunstancias, los usuarios de su organización pueden acceder a los productos o servicios de Microsoft para los que Microsoft es el controlador de datos. En estos casos, los usuarios tienen que iniciar su propio DSR directamente con Microsoft y Microsoft satisface las solicitudes directamente con el usuario.
Otros productos de terceros
En el caso de los productos y servicios de terceros a los que se accede a través de la autenticación de cuentas de Microsoft, dirija las solicitudes del interesado al tercero correspondiente.
Herramientas de administración de solicitudes del interesado
- Portales de Microsoft: exporte los datos creados o generados por el usuario mediante el portal de Microsoft Purview o las características en la aplicación.
- centro de Microsoft Entra Administración: elimine a un interesado de Microsoft Entra ID y servicios relacionados mediante Microsoft Entra Administración Center.
- Exportación de registros de datos de Microsoft: los administradores de inquilinos pueden exportar registros generados por el sistema mediante la exportación de registros de datos de Microsoft.