Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Pode encontrar mais detalhes no artigo Resumo do RGPD.
Da mesma forma, o California Consumer Privacy Act (CCPA) fornece direitos e obrigações de privacidade aos consumidores da Califórnia. Estes direitos incluem direitos semelhantes aos Direitos dos Titulares dos Dados do RGPD, tais como o direito de eliminar, aceder e receber (portabilidade) as suas informações pessoais. O CCPA também fornece certas divulgações, proteções contra discriminação ao eleger direitos de exercício e requisitos de "aceitação/recusa" para determinadas transferências de dados classificadas como "vendas". Neste documento, você poderá obter informações sobre como concluir as solicitações de entidades de dados (DSRs) em RGPD e CCPA usando produtos e serviços da Microsoft.
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Suporte e Serviços Profissionais da Microsoft
- Office 365
- Família do Visual Studio
- Windows 365
- Windows
Para definições de terminologia do RGPD, veja Regulamento Geral sobre a Proteção de Dados. Para obter informações sobre a função da Microsoft como processador de dados, consulte Microsoft como processador de dados.
O que é um DSR?
O Regulamento Geral sobre a Proteção de Dados (RGPD) concede direitos às pessoas (conhecidas no regulamento como titulares dos dados) para gerir os dados pessoais que um empregador ou outro tipo de agência ou organização (conhecido como responsável pelo tratamento de dados ou apenas responsável pelo tratamento) recolhe sobre os mesmos. O RGPD concede aos titulares dos dados direitos específicos aos seus dados pessoais. Estes direitos incluem obter cópias dos seus dados pessoais, pedir alterações aos mesmos, restringir o processamento dos mesmos, eliminá-los ou recebê-los em formato eletrónico para que possam movê-los para outro controlador.
Como controlador, é obrigado a considerar rapidamente cada DSR e fornecer uma resposta substantiva ao tomar a ação pedida ou ao fornecer uma explicação para o motivo pelo qual o DSR não pode ser acomodado pelo controlador. Consulte os seus próprios consultores legais ou de conformidade sobre a disposição adequada de qualquer DSR.
Vários processos podem estar envolvidos na conclusão de um DSR, sujeito às regras de conformidade do RGPD da sua organização.
- Descobrir: Utilize ferramentas de pesquisa e deteção para encontrar mais facilmente dados de clientes que possam ser objeto de uma DSR. Depois de recolher documentos potencialmente reativos, pode executar uma ou mais das ações DSR descritas nos passos seguintes para responder ao pedido. Em alternativa, pode determinar que o pedido não cumpre as diretrizes da sua organização para responder a DSRs.
- Acesso: Obtenha dados pessoais que residem na cloud da Microsoft e, se solicitado, faça uma cópia dos mesmos aos quais o titular dos dados possa aceder.
- Retificação: faça alterações ou implemente outras ações solicitadas nos dados pessoais, onde for possível.
- Restringir: restrinja o processamento de dados pessoais, removendo licenças para vários serviços do Azure ou desativando os serviços desejados sempre que possível. Você também pode remover dados da nuvem da Microsoft e retê-los localmente ou em outro lugar.
- Exclusão: remova permanentemente os dados pessoais que residem na nuvem da Microsoft.
- Exportar/Receber (Portabilidade): forneça uma cópia eletrônica (em formato legível para computador) de dados pessoais ou informações pessoais para o titular dos dados.
Cada secção nos guias específicos do produto descreve os procedimentos técnicos que uma organização de controlador de dados pode tomar para responder a um DSR para dados pessoais na cloud da Microsoft.
Como utilizar os guias específicos do produto
Cada guia específico do produto consiste em duas partes:
- Parte 1: Responder a Pedidos de Titulares de Dados dos Dados do Cliente: A parte 1 aborda como aceder, retificar, restringir, eliminar e exportar dados de aplicações nas quais criou dados. Esta secção detalha como executar DSRs no Conteúdo do Cliente e também informações identificáveis dos utilizadores.
- Parte 2: respondendo a Solicitações do Titular dos Dados para Logs Gerados pelo Sistema: quando você usa os serviços corporativos da Microsoft, a Microsoft gera algumas informações, conhecidas como Logs Gerados pelo Sistema, para fornecer o serviço. A parte 2 aborda como aceder, eliminar e exportar essas informações.
Compreender os DSRs para contas de serviço Microsoft Entra ID e Microsoft
Ao utilizar o Token Direto de Diretório Expandido (EDDT), os utilizadores convidados num inquilino podem iniciar DSRs em vários inquilinos. Todos os DSRs iniciados pelo utilizador são executados em todos os inquilinos em que o utilizador é autorizado pelo administrador inquilino correspondente.
O mesmo processo também se aplica às Contas de Serviço Microsoft (MSA) no contexto dos serviços fornecidos a um cliente empresarial. A execução de um DSR numa conta MSA associada a um inquilino Microsoft Entradiz respeito apenas a dados no inquilino. Além disso, é importante compreender o seguinte ao processar contas MSA num inquilino:
- Se um utilizador da MSA criar uma subscrição Azure, a subscrição é processada como se fosse um inquilino Microsoft Entra. Consequentemente, os DSRs estão no âmbito do inquilino, conforme descrito acima.
- Se uma subscrição Azure criada através de uma conta MSA for eliminada, não afetará a conta MSA real. Mais uma vez, conforme indicado acima, os DSRs executados no Azure subscrição estão limitados ao âmbito do próprio inquilino.
Os utilizadores executam DSRs numa conta MSA, fora de um determinado inquilino, através do Dashboard de Privacidade do Consumidor.
Considerações específicas da DSR
Informações geradas por produtos ou serviços Microsoft
As informações podem ser geradas por serviços como o Viva Personal Insights. Office 365 inclui serviços online que fornecem informações aos utilizadores e organizações que as utilizam. Os dados gerados por estes serviços podem produzir dados pessoais relevantes para um DSR. Para obter detalhes sobre os processos DSR específicos do serviço, veja a secção seguinte.
DSRs para logs gerados pelo sistema
Os registos e os dados relacionados gerados pela Microsoft podem conter dados que o RGPD considera pessoais. Não pode restringir ou retificar dados em registos gerados pelo sistema. Os dados nos registos gerados pelo sistema são ações factuais realizadas na cloud da Microsoft e nos dados de diagnóstico. As modificações comprometeriam o registo histórico das acções e aumentariam os riscos de fraude e segurança. A Microsoft fornece a capacidade de aceder, exportar e eliminar registos gerados pelo sistema que poderá ter de concluir um DSR. Exemplos desses dados incluem:
- Dados de uso de produtos e serviços, como os log de atividades do usuário
- Dados de solicitações e consultas de pesquisa do usuário
- Dados gerados por produtos e serviços resultantes da funcionalidade do sistema e da interação por utilizadores ou outros sistemas.
Para obter mais informações sobre os registos gerados pelo sistema a partir de uma exportação de Direito do Requerente de Dados (DSR), veja Descrição geral dos registos gerados pelo sistema a partir de uma exportação de Pedido de Titular de Dados (DSR).
Viva Engage
Eliminar a conta de um utilizador não remove os registos gerados pelo sistema para Viva Engage. Para remover os dados desses aplicativos, confira um dos seguintes recursos:
Nuvens nacionais
Em algumas nuvens nacionais, um administrador de TI global precisa excluir os logs gerados pelo sistema.
Serviços da Microsoft
Se a sua organização ou utilizadores interagirem com a Microsoft para receber suporte relacionado com produtos e serviços Microsoft, alguns destes dados poderão conter dados pessoais. Para saber mais informações, confira Solicitações de titulares dos dados ao suporte e aos Serviços profissionais da Microsoft sobre o RGPD.
Produtos do Microsoft Controller
Em algumas circunstâncias, os utilizadores da sua organização poderão aceder a produtos ou serviços Microsoft para os quais a Microsoft é o responsável pelo tratamento de dados. Nesses casos, os usuários precisam iniciar seu próprio DSRs diretamente na Microsoft, e a Microsoft preenche as solicitações diretamente para o usuário.
Produtos de terceiros
Para produtos e serviços de terceiros acedidos através da autenticação da conta Microsoft, direcione os pedidos dos titulares dos dados para terceiros aplicáveis.
Ferramentas de administração de Solicitações de Entidades de Dados
- Portais da Microsoft: exporte dados criados ou gerados pelo utilizador com o portal do Microsoft Purview ou as funcionalidades na aplicação.
- Microsoft Entra Administração Center: elimine um titular de dados de Microsoft Entra ID e serviços relacionados com o Microsoft Entra Administração Center.
- Exportação do Registo de Dados da Microsoft: os administradores inquilinos podem exportar registos gerados pelo sistema com a Exportação do Registo de Dados da Microsoft.