Compartir a través de

Reglamento general de protección de datos

El reglamento general de protección de datos (RGPD), añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. Este documento lo guiará a información que le ayude a respetar los derechos y cumplir las obligaciones del reglamento general de protección de datos, al usar los productos y servicios de Microsoft. Un plan de acción recomendado para el reglamento general de protección de datosylistas de comprobación de responsabilidadproporcionan recursos adicionales para evaluar e implementar el cumplimiento del reglamento general de protección de datos.

Terminología

Definiciones útiles de los términos del RGPD utilizados en este documento:

  • Controlador de datos (Controlador): persona jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de datos personales.
  • Datos personales e interesado: cualquier información relacionada con una persona física identificada o una persona natural identificable (interesado), una persona física identificable es la que puede identificarse, directa o indirectamente.
  • Procesador: persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable.
  • Datos de clientes: Datos producidos y almacenados en las operaciones diarias de su empresa.

¿Qué es el RGPD?

El RGPD concede derechos a las personas para administrar los datos personales que una organización recopila sobre ellos. Personas puede ejercer estos derechos a través de una solicitud de interesado (DSR). La organización debe proporcionar información oportuna sobre los DSR y las infracciones de datos, y realizar evaluaciones de impacto de la protección de datos (PPPA).

Tenga en cuenta varios puntos al implementar o evaluar los requisitos del RGPD:

  • Desarrollando o evaluando la Directiva de privacidad de los datos de cumplimiento normativo del reglamento general de protección de datos (RGPD).
  • Evaluar la seguridad de los datos de su organización.
  • Identificación del controlador de datos.
  • Determinar qué procesos de seguridad de datos debe realizar.

El plan de acción recomendado para el RGPD y las listas de comprobación de preparación de la responsabilidad podría generar puntos de reflexión adicionales.

Para cumplir con los estándares del RGPD, realice las siguientes tareas. Siga los vínculos de la lista para obtener más información sobre la implementación.

  • Solicitudes de temas de datos (STD). Una solicitud formal de datos, sujetos a un controlador para realizar una acción (cambiar, restringir, acceder) en sus datos personales.
  • Notificación de infracciones. En virtud del RGPD, una vulneración de datos personales es "una vulneración de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados de otro modo".
  • Evaluación de impacto de la protección de datos (EPIA). Los controladores de datos son necesarios en virtud del RGPD para preparar un DPIA para las operaciones de datos que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas".

Como se mencionó anteriormente, el plan de acción recomendado para RGPD y las listas de comprobación de preparación de responsabilidad proporcionan una guía para implementar o evaluar la conformidad del RGPD mediante productos y servicios de Microsoft.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica del portal de Microsoft Purview que le ayuda a comprender la posición de cumplimiento de su organización y a tomar medidas para reducir los riesgos. El Administrador de cumplimiento tiene una evaluación precompilada para este reglamento para los clientes de Enterprise E5. Busque la plantilla para generar la evaluación en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Solicitud de temas de datos (STD).

El RGPD concede a las personas (o interesados) ciertos derechos en relación con el procesamiento de sus datos personales, incluido el derecho a corregir datos inexactos, borrar datos o restringir su procesamiento, recibir sus datos y satisfacer una solicitud para transmitir sus datos a otro responsable. El controlador es responsable de proporcionar una respuesta oportuna y coherente con el RGPD. Para obtener información técnica, consulte Solicitudes de temas de datos.

Preguntas frecuentes sobre STD

¿Qué acciones completan un DSR?

Una STD implica seis actividades: descubrir, obtener acceso, rectificar, limitar, exportar y eliminar.

¿Cuáles son los orígenes de datos?

Una gran fracción de los datos de una organización procede de aplicaciones de Office como Excel y Outlook. También puede encontrar datos relevantes para una DSR en Insights generada por productos y servicios de Microsoft, y registros generados por el sistema.

¿Qué tipos de datos debe buscar?

Los datos personales se pueden encontrar en los datos de los clientes, la información generada por los productos y servicios de Microsoft y los registros generados por el sistema.

¿Cómo se buscan los datos personales?

La búsqueda de datos personales varía entre los productos y servicios de Microsoft. Las herramientas de búsqueda incluyen las capacidades búsqueda de contenido o búsqueda en aplicación. Los administradores pueden acceder a los registros generados por el sistema asociados a la actividad de un usuario.

¿En que formato debería estar disponible la información personal?

El "derecho de portabilidad de datos" del RGPD permite a un interesado solicitar una copia de datos personales en un "formato estructurado, de uso común y legible por máquina" y solicitar que su organización transmita estos archivos a otro responsable de los datos.

¿Qué exige el RGPD y cuáles son mis obligaciones como responsable del tratamiento?

Como responsable del tratamiento, el RGPD le exige que sea capaz de:

  • Entregue a los interesados una copia de sus datos personales, junto con una explicación de las categorías de sus datos que se están procesando, los fines de dicho procesamiento y las categorías de terceros a los que se podrían revelar sus datos.
  • Ayudar a todas y cada una de las personas a ejercer su derecho a corregir datos personales inexactos, borrar datos o restringir su procesamiento, recibir sus datos en un formato legible y, si procede, cumplimentar una solicitud para transmitirlos a otro responsable del tratamiento.

¿Qué exige el RGPD y cuáles son las responsabilidades de Microsoft como encargado del tratamiento?

Microsoft debe implementar las medidas técnicas y organizativas adecuadas para ayudarle a responder a las solicitudes de los interesados que ejercen sus derechos, como se ha explicado anteriormente.

¿Dónde puedo encontrar información relacionada con RGPD para servidores locales?

Puede encontrar una serie de artículos relacionados con el RGPD aquí. Elaborados por Microsoft, proporcionan métodos recomendados para cargas de trabajo local de SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server y archivos compartidos locales.

¿Cómo le permite Microsoft responder a las solicitudes de los interesados?

Los servicios en línea ofrecen una gran cantidad de capacidades para permitirle, como controlador, responder a la solicitud de un sujeto de datos. Los servicios empresariales en línea y los controles administrativos de Microsoft le ayudan a actuar sobre los datos personales en respuesta a las solicitudes de derechos de los sujetos de datos, permitiéndole descubrir, obtener acceso, rectificar, restringir, eliminar y exportar los datos personales que residen en los datos administrados por el controlador y almacenados en la nube de Microsoft. Los servicios en línea también proporcionan datos en formato de lectura mecánica cuando lo necesite.

Evaluaciones de impacto de protección de datos

En virtud del RGPD, los controladores de datos deben preparar una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de operaciones que "puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a los productos y servicios de Microsoft que requiera la creación de un DPIA. En su lugar, depende de los detalles de la configuración de Microsoft. Puede encontrar una lista de detalles que debe tener en cuenta en Office en Contenido de PPPA.

Preguntas frecuentes sobre EIPA

¿Cuándo debería llevar a cabo una evaluación de impacto de la protección de datos (EIPA)?

Debe realizar una DPIA al abordar los riesgos para la seguridad de los datos personales o como resultado de una vulneración de datos. Para ver ejemplos específicos de factores de riesgo en Office, consulte Determinación de si se necesita un DPIA.

¿Qué se necesita para elaborar una EIPA?

El reglamento general de protección de datos (RGPD) ordena que una evaluación de impacto de la protección de datos (EIPA) incluya:

  • Evaluación de la necesidad y la proporcionalidad del procesamiento de datos en relación con el propósito de la DPIA.
  • Una evaluación de los riesgos para los derechos y libertades de los temas de los datos
  • Las medidas previstas para abordar los riesgos, las protecciones, las medidas de seguridad y los mecanismos para asegurar la protección de los datos personales y demostrar el cumplimiento de el reglamento general de protección de datos (RGPD).

¿Cuáles son mis obligaciones como responsable del tratamiento?

En virtud del RGPD, como controlador, es necesario que realice los DPIA antes del procesamiento de datos que es probable que genere un alto riesgo para los derechos y libertades de las personas, especialmente el procesamiento que usa nuevas tecnologías. El RGPD proporciona la siguiente lista no completa de casos en los que debe llevar a cabo los DPIA:

  • El procesamiento automatizado con fines de generación de perfiles y actividades similares, que tiene efectos legales o afecta de forma similar a los interesados.
  • Procesamiento a gran escala de categorías especiales de datos personales (datos que revelan orígenes raciales o étnicos, opiniones políticas y similares) o de datos relacionados con condenas penales y delitos.
  • Supervisión sistemática a gran escala de un área de acceso público.

El RGPD también requiere que consulte con la Autoridad de protección de datos (DPA) antes de comenzar cualquier procesamiento si no puede identificar los procesos suficientes para minimizar los riesgos elevados para los interesados.

¿Cuáles son las responsabilidades de Microsoft?

Microsoft practica la privacidad por diseño y la privacidad de forma predeterminada en sus funciones de ingeniería y negocios. En el marco de estas iniciativas, Microsoft realiza revisiones completas de privacidad de las operaciones de procesamiento de datos que tienen posibilidades de afectar a los derechos y las libertades de los interesados. Los equipos de privacidad integrados en los grupos de servicios revisan el diseño y la implementación de los servicios para asegurarse de que los datos personales se procesan de forma respetuosa y acorde con el derecho internacional, las expectativas del usuario y los compromisos expresos de Microsoft.

Estas revisiones de privacidad tienden a ser granulares: un servicio determinado puede recibir docenas o cientos de opiniones. Microsoft recoge estas revisiones de privacidad pormenorizadas en evaluaciones del impacto en la protección de datos (EIPA) que cubren las principales agrupaciones de procesamiento, que luego revisa el responsable de protección de datos (DPO) de la UE de Microsoft. El DPO evalúa los riesgos relacionados con el procesamiento de datos para asegurarse de que existen suficientes circunstancias atenuantes. Si el DPO encuentra riesgos no mitigados, recomiendan volver a realizar cambios en el grupo de ingeniería. Los PPPA se revisan y actualizan a medida que cambian los riesgos de protección de datos.

Como encargado del tratamiento, Microsoft tiene la obligación de asistir a los responsables del tratamiento en garantizar el cumplimiento de los requisitos de EIPA establecidos en el RGPD. Para apoyar a nuestros clientes, las secciones relevantes de las DPIA de Microsoft son resumidas y serán proporcionadas a través de esta sección en futuras actualizaciones con la intención de permitir a los controladores que dependen de los servicios Microsoft aprovechar los resúmenes para crear sus propias DPIA.

Notificación de infracciones

El RGPD establece los requisitos de notificación para los responsables y procesadores de datos cuando se produce una vulneración de los datos personales. Como procesador de datos, Microsoft ayuda a los clientes a cumplir los requisitos de notificación de infracciones del RGPD. Los controladores de datos son responsables de evaluar los riesgos para la privacidad de los datos y determinar si una infracción requiere la notificación de la DPA de un cliente. Microsoft proporciona la información necesaria para realizar la evaluación. Para obtener más información sobre cómo Microsoft detecta y responde a una vulneración de datos personales, consulte Notificación de vulneración de datos según el RGPD.

Preguntas frecuentes sobre notificación de infracciones

¿Qué constituye una vulneración de datos personales en virtud del RGPD?

Los datos personales se refieren a cualquier información relacionada con un usuario individual que pueda usarse para identificarlo directa o indirectamente. Una vulneración de datos personales es "una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados de otro modo".

¿Cuáles son sus obligaciones como responsable del tratamiento?

Si se produjera una vulneración de datos personales que pueda derivarse en un riesgo alto para los derechos y las libertades de las personas (tales como discriminación, robos de identidad, fraude, perjuicio financiero o daños a su reputación), el RGPD exige que usted:

  • Notifique a la autoridad de protección de datos (DPA) adecuada en un plazo de 72 horas después de conocerla, por ejemplo, después de que Microsoft se lo notifique. Si no notifica al DPA dentro de ese período de tiempo, debe explicar por qué al DPA. Este aviso al DPA es necesario incluso cuando hay un riesgo para las personas que no es probable que produzca un alto riesgo.
  • Notifique la vulneración a los interesados sin dilación.
  • Documente la infracción, incluida una descripción de la naturaleza de la infracción, como cuántas personas se vieron afectadas, el número de registros de datos afectados, las consecuencias de la infracción y cualquier acción correctiva que su organización propone o ha tomado.

¿Cuáles son las responsabilidades de Microsoft como encargado del tratamiento?

El RGPD exige que, tras tener conocimiento de una vulneración de datos personales, lo notifiquemos a usted sin la menor dilación. Cuando Microsoft sea el encargado del tratamiento de datos, nuestras obligaciones reflejarán tanto los requisitos del RGPD como nuestras disposiciones contractuales estándar en todo el mundo. Consideramos que todas las infracciones de datos personales confirmadas están en el ámbito; no hay riesgo de daño umbral. Notificamos a nuestros clientes si Microsoft sufrió la vulneración de datos directamente o por cualquiera de nuestros subprocesadores. Disponemos de procesos para identificar y ponerse en contacto rápidamente con el personal de incidentes de seguridad que identifique en su organización. Además, todos los subprocesadores están obligados contractualmente a notificar sus propias infracciones a Microsoft y a proporcionar garantías a tal efecto.

¿Cómo detectará Microsoft una vulneración de datos?

Todos nuestros servicios y personal siguen procedimientos internos de administración de incidentes para asegurarnos de que tomamos precauciones adecuadas para evitar las vulneraciones de datos desde el primer momento. Pero, además, los servicios en línea de Microsoft tienen controles de seguridad específicos en todas nuestras plataformas para detectar vulneraciones de datos en el caso poco probable de que se produzcan.

¿Cómo responderá Microsoft a una vulneración de datos?

Para ayudarle a vulnerar los datos personales, Microsoft tiene: - Personal de seguridad entrenado en los procedimientos específicos que se deben seguir. - Directivas, procedimientos y controles implementados para garantizar que Microsoft mantiene registros detallados. Esta respuesta incluye documentación que captura la información del incidente, sus efectos y la acción correctiva, así como el seguimiento y almacenamiento de la información en nuestros sistemas de administración de incidentes.

¿Cómo me notificará Microsoft en caso de una vulneración de datos?

Microsoft cuenta con directivas y procedimientos para notificarle inmediatamente. Para satisfacer sus requisitos de notificación al DPA, proporcionamos una descripción del proceso que usamos para determinar si se ha producido una vulneración de datos personales, una descripción de la naturaleza de la infracción y una descripción de las medidas que hemos tomado para mitigar la infracción.

Listas de comprobación de preparación de responsabilidad para RGPD

Estas listas de comprobación proporcionan una manera cómoda de acceder a la información que es posible que necesite para admitir el RGPD mediante los productos de Microsoft. Para administrar los elementos de lista de comprobación, haga referencia al identificador de control y al título de control en Controles administrados por el cliente en el icono rgpd mediante el Administrador de cumplimiento de Microsoft Purview.

Preguntas frecuentes sobre el RGPD

¿Microsoft realiza compromisos con sus clientes en lo que respecta al RGPD?

Sí. El RGPD requiere que los controladores (como las organizaciones que usan la servicios en línea empresarial de Microsoft) solo usen procesadores (como Microsoft) que proporcionen garantías suficientes para cumplir los requisitos clave del RGPD. Microsoft proporciona estos compromisos de forma proactiva a todos los clientes de licencias por volumen como parte de sus contratos.

¿Cómo me ayuda Microsoft a cumplir?

Microsoft proporciona herramientas y documentación para darle soporte en su responsabilidad respecto del RGPD. Este soporte incluye los derechos del interesado, la realización de sus propias evaluaciones de impacto de protección de datos y el trabajo conjunto para resolver las infracciones de datos personales.

¿Qué compromisos hay en los Términos de RGPD?

Los Términos de GDPR de Microsoft reflejan los compromisos exigidos a los procesadores en el Artículo 28. El artículo 28 exige que los encargados del tratamiento se comprometan a:

  • Acudir a subprocesadores solo con el consentimiento del controlador y ser responsable por los subprocesadores.
  • Procesar los datos personales solo de acuerdo con las instrucciones del controlador, incluido lo relativo a las transferencias.
  • Asegurarse de que las personas que procesan los datos personales estén comprometidas con la confidencialidad.
  • Implementar medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad de los datos personales adecuado al riesgo.
  • Ayudar a los controladores en sus obligaciones de responder a las solicitudes de los titulares de los datos para ejercer sus derechos en materia de GDPR.
  • Cumplir con los requisitos de notificación y asistencia en infracciones.
  • Asistir a los controladores con evaluaciones de impacto en la protección de datos y consulta con autoridades supervisoras.
  • Eliminar o devolver datos personales al final de la prestación de servicios.
  • Prestar soporte al controlador con evidencia de que cumple con el RGPD.

¿Sobre qué base facilita Microsoft la transferencia de datos personales fuera de la Unión Europea?

Microsoft aplica desde hace largo tiempo las cláusulas contractuales estándar (también conocidas como las cláusulas modelo) como base para la transferencia de datos para sus servicios en línea para empresas. Las cláusulas contractuales Standard son términos estándar proporcionados por la Comisión Europea que puede utilizar para transferir datos fuera del Espacio Económico Europeo de forma conforme. Microsoft incorporó las cláusulas contractuales Standard en todos sus contratos de licencias por volumen a través de los Términos del producto. En el caso de los datos personales del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft garantiza que las transferencias de datos personales a un tercer país o región o a una organización internacional estén sujetas a las medidas de seguridad adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft en virtud de las cláusulas contractuales Standard para procesadores y otros contratos modelo, Microsoft sigue cumpliendo los términos del marco del Escudo de privacidad, pero ya no se basa en él como base para la transferencia de datos personales de la UE/EEE al Estados Unidos.

¿Qué más ofrece Microsoft en materia de cumplimiento?

Como empresa global con clientes en casi todos los países o regiones del mundo, Microsoft tiene una sólida cartera de cumplimiento para ayudar a sus clientes. Para ver una lista completa de sus ofertas de cumplimiento, como FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud y muchos otros, visite los temas de la oferta de cumplimiento.

¿Cómo afectará el RGPD a mi empresa?

El RGPD impone una amplia variedad de requisitos a las organizaciones que recopilan o procesan datos personales, incluido el requisito de cumplir con seis principios clave:

  • Transparencia, equidad y legitimidad en el manejo y uso de datos personales. Debe ser claro con las personas sobre cómo usa los datos personales y también necesita una "base legal" para procesar esos datos.
  • Limitar el procesamiento de datos personales a fines especificados, explícitos y legítimos. No puede reutilizar ni divulgar datos personales para fines que no sean "compatibles" con el propósito para el que recopiló originalmente los datos.
  • Minimice la recopilación y el almacenamiento de datos personales a solo lo que sea adecuado y relevante para el propósito previsto.
  • Garantizar la precisión de los datos personales y permitir que se borren o rectifiquen. Debe tomar medidas para asegurarse de que los datos personales que contiene sean precisos y que se puedan corregir si se producen errores.
  • Limitar el almacenamiento de datos personales. Debe asegurarse de conservar los datos personales solo durante el tiempo necesario para lograr los fines para los que recopiló los datos.
  • Garantizar la seguridad, integridad y confidencialidad de los datos personales. Su organización debe realizar las acciones necesarias para proteger los datos personales con medidas de seguridad técnicas y organizacionales.

Debe comprender las obligaciones específicas de su organización en virtud del RGPD y cómo las cumplirá. Microsoft está aquí para ayudarle en el recorrido del RGPD.

¿Qué derechos deben habilitar las empresas en relación con el RGPD?

El RGPD ofrece a los residentes de la UE control sobre sus datos personales a través de un conjunto de derechos de los «interesados». Este conjunto incluye el derecho a:

  • Acceso a información acerca de cómo se usan los datos personales.
  • Acceso a los datos personales conservados por una organización.
  • Eliminación o corrección de datos personales incorrectos.
  • Rectificación y eliminación de datos personales en determinadas circunstancias (también denominado «derecho al olvido»).
  • Restricciones u objeciones al procesamiento automatizado de los datos personales.
  • Recibir una copia de los datos personales (portabilidad).

¿Quiénes son los Procesadores y los Controladores?

Un responsable es una persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales. Un procesador es una persona física o jurídica, entidad pública, agencia u otro organismo que procese datos personales en nombre del controlador.

¿Se aplica el RGPD a los procesadores y controladores?

Sí, el RGPD se aplica a los controladores y los procesadores. Los controladores solo deben recurrir a procesadores que adopten medidas para cumplir con los requisitos del RGPD. Según el RGPD, los procesadores tienen obligaciones y responsabilidades adicionales por incumplimiento o actuar fuera de las instrucciones proporcionadas por el responsable, en comparación con la Directiva de protección de datos. Las tareas del procesador incluyen, entre otras, las siguientes:

  • Procesar los datos únicamente según las instrucciones del controlador.
  • Hacer uso de las medidas técnicas y organizativas adecuadas para proteger los datos personales.
  • Colaborar con el controlador en relación con solicitudes de los interesados.
  • Garantizar que los subprocesadores se comprometen con estos requisitos.

¿A cuánto pueden ascender las multas a las empresas por incumplimiento?

Las empresas pueden ser multadas hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor, por no cumplir ciertos requisitos del RGPD. Las reclamaciones individuales adicionales pueden incrementar su riesgo si no cumple con los requisitos del RGPD.

¿Mi empresa debe designar un responsable encargado de la protección de datos (DPO)?

Depende de diferentes factores recogidos en el reglamento. El artículo 37 del RGPD establece que los responsables y procesadores deben designar a un responsable de protección de datos en cualquier caso en el que: (a) una autoridad o organismo público, excepto los tribunales que actúan en su capacidad judicial, lleve a cabo el procesamiento; (b) las actividades básicas del responsable o del encargado del tratamiento consisten en operaciones de procesamiento que, en virtud de su naturaleza, su alcance o sus propósitos, requieren un seguimiento regular y sistemático de los interesados a gran escala; o (c) las actividades básicas del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 y datos personales relativos a condenas penales y delitos a que se refiere el artículo 10.

¿Cuánto costará lograr la conformidad con el RGPD?

Cumplir con el RGPD costará tiempo y dinero a la mayoría de las organizaciones, aunque podría ser una transición más fluida para aquellos que operan en un modelo de servicios en la nube bien diseñado y tienen un programa de gobernanza de datos eficaz.

¿Cómo puedo saber si los datos que procesa mi organización están cubiertos por el RGPD?

El RGPD regula la recopilación, el almacenamiento, el uso y la forma en que se comparten los «datos personales». El RGPD define los datos personales en general como cualquier dato relacionado con una persona física identificada o identificable.

Los datos personales pueden incluir, entre otros, identificadores en línea (por ejemplo, direcciones IP), información de empleados, bases de datos de ventas, datos de servicios al cliente, formularios de comentarios de clientes, datos de ubicación, datos biométricos, imágenes de CCTV, registros de esquemas de fidelidad, información financiera y de salud, etc. Incluso puede incluir información que no parezca personal (como una foto de un paisaje sin personas) donde un número de cuenta o código único vincula esa información a una persona identificable. E incluso los datos personales que se pseudonimizan pueden ser datos personales si el seudónimo se puede vincular a una persona en particular.

El procesamiento de determinadas categorías "especiales" de datos personales, como los datos personales que revelan el origen racial o étnico de una persona, o que se refieren a su salud o orientación sexual, está sujeto a reglas más estrictas que el procesamiento de datos personales "normales". Esta evaluación de los datos personales es muy específica para los hechos, por lo que debe interactuar con un experto para evaluar sus circunstancias específicas.

Mi organización solo está procesando datos en nombre de otros usuarios. ¿Sigue siendo necesario cumplir con el RGPD?

Sí. Aunque las reglas son ligeramente distintas, el RGPD se aplica a las organizaciones que recopilación y procesan datos para sus propios propósitos («controladores») y a las organizaciones que procesan los datos en nombre de terceros («procesadores»). Este requisito es un cambio respecto de la Directiva de protección de datos existente, que se aplica a los controladores.

¿Qué se considera específicamente datos personales?

Los datos personales son cualquier información relacionada con una persona identificada o identificable. No hay distinción entre los roles privados, públicos o laborales de una persona. Los datos personales pueden incluir:

  • Nombre
  • Dirección del domicilio
  • Dirección del trabajo
  • Número de teléfono
  • Número de celular
  • Dirección de correo
  • Número de pasaporte
  • Documento de identificación nacional
  • Número de la Seguridad Social (o equivalente)
  • Licencia de conducir
  • Información física, psicológica o genética
  • Información médica
  • Identidad cultural
  • Información bancaria o números de cuenta
  • Número de identificación fiscal
  • Dirección de lugar de trabajo
  • Números de tarjetas de crédito y débito
  • Publicaciones de redes sociales
  • Dirección IP (región de la UE)
  • Datos de ubicación o GPS
  • Cookies

¿Puedo transferir datos fuera de la UE?

Sin embargo, sí, el RGPD regula estrictamente las transferencias de datos personales de los residentes europeos a destinos fuera del Espacio Económico Europeo. Es posible que tenga que configurar un mecanismo legal específico, como un contrato, o adherirse a un mecanismo de certificación para habilitar estas transferencias. Microsoft detalla los mecanismos que usa en los Términos de producto.

Tengo requisitos de retención de datos a través del cumplimiento. ¿Estos requisitos invalidan el derecho de eliminación?

Cuando haya motivos legítimos para el procesamiento continuo y la retención de datos, como «para el cumplimiento de una obligación legal, que requiere el tratamiento por parte de la Unión o del Derecho de los Estados miembros al que está sujeto el responsable» (artículo 17, apartado 3, letra b), el RGPD reconoce que es posible que las organizaciones deban conservar los datos. Sin embargo, asegúrese de que involucra a su asesor legal para asegurarse de que los motivos de retención se sopesan con los derechos y libertades de los interesados, sus expectativas en el momento en que se recopilaron los datos y otros factores pertinentes.

¿Es compatible el RGPD con el cifrado?

El RGPD identifica el cifrado como una medida de protección que hace que los datos personales sean ininteligibles cuando se produce una infracción. Por lo tanto, si se usa o no el cifrado puede afectar a los requisitos para la notificación de una vulneración de datos personales. El RGPD también señala el cifrado como medida técnica u organizativa apropiada en determinados casos, en función del riesgo. El cifrado es también un requisito en el Estándar de Seguridad de Datos del Sector de Tarjetas de Pago y está incluido en las estrictas directivas de cumplimiento específicas para el sector de servicios financieros. Productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, Windows 10 y Windows 11 ofrecer un cifrado sólido para los datos en tránsito y los datos en reposo.

¿Cómo cambia la respuesta de una organización a las violaciones de los datos personales?

El RGPD cambia los requisitos de protección de datos y establece obligaciones más estrictas para los procesadores y controladores con respecto a la notificación de infracciones de datos personales. En virtud de la nueva normativa, el encargado del tratamiento debe notificar al responsable de los datos una vulneración de datos personales, después de conocerlos, sin retrasos indebidos. Una vez que tenga conocimiento de la infracción de los datos personales, el controlador debe notificar a la autoridad de protección de datos correspondiente dentro de 72 horas. Si es probable que la vulneración genere un alto riesgo para los derechos y libertades de las personas, los controladores también deben notificar a las personas afectadas sin demora indebida. El Grupo de trabajo del Artículo 29 de la UE está elaborando orientaciones adicionales sobre este tema.

Productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 y Windows 10 - tener soluciones disponibles hoy en día para ayudarle a detectar y evaluar amenazas e infracciones de seguridad y cumplir con las obligaciones de notificación de infracciones del RGPD.

Recursos adicionales

  • Last updated on