Evaluaciones de impacto de la protección de datos: guía para los controladores de datos mediante Dynamics 365 y Power Platform

El Reglamento general de protección de datos (RGPD) exige a los responsables de los datos realizar una evaluación del impacto de la protección de datos (EIPD) en el caso de operaciones de tratamiento que tengan "probabilidad de suponer un alto riesgo para los derechos y libertades de las personas físicas". No hay nada inherente a Dynamics 365 y Power Platform que requiera necesariamente la creación de un DPIA por parte de un controlador de datos que lo use. En su lugar, si se requiere un DPIA dependerá de los detalles y el contexto de cómo el controlador de datos implementa, configura y usa Dynamics 365 o Power Platform. En cualquier caso, una EIPD debe comenzar al principio de la vida de un proyecto y ejecutarse en paralelo al proceso de planeamiento y desarrollo.

El propósito de este documento es proporcionar a los controladores de datos información sobre Dynamics 365 y Power Platform que le ayudará a determinar si necesita un DPIA y, si es así, qué detalles incluir.

Nota:

Microsoft no proporciona asesoría legal en este artículo. Este artículo tiene fines exclusivamente informativos. Se recomienda a los clientes que trabajen con sus responsables de privacidad (y/o responsable de protección de datos (DPO) cuando lo designen) y/o asesor legal y/o asesores para determinar la necesidad y el contenido de los DPIA relacionados con su uso de Microsoft Dynamics 365, Power Platform o cualquier otro servicio en línea de Microsoft.

Parte 1: determinar si se necesita una EIPD

El artículo 35 del RGPD exige que un responsable del tratamiento de datos cree una evaluación de impacto de la protección de datos "[w]here un tipo de procesamiento en particular mediante nuevas tecnologías, y teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del procesamiento, es probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas". Además, establece factores concretos que indican un alto riesgo, que se describen en la tabla siguiente: Al determinar si se necesita un DPIA, un controlador de datos debe tener en cuenta estos factores, junto con otros factores pertinentes, a la luz de las implementaciones y usos específicos del controlador de Dynamics 365 y Power Platform.

Factor de riesgo Información relevante sobre Dynamics 365 y Power Platform
Una evaluación sistemática y extensa de aspectos personales relacionados con las personas físicas que se basa en el procesamiento automático, incluida la generación de perfiles, y en qué decisiones se basan que producen efectos jurídicos en relación con la persona física, o bien que afectan de forma significativa y similar a la persona física; Algunos servicios de Dynamics 365 y Power Platform realizan cierto procesamiento automatizado de datos, como la puntuación de clientes potenciales o de oportunidades (por ejemplo, predecir la probabilidad de que se produzca una venta). Sin embargo, los servicios Dynamics 365 y Power Platform no están diseñados para realizar el procesamiento en el que se basan las decisiones que producen efectos legales o similares en las personas.

Sin embargo, dado que Dynamics 365 y Power Platform son servicios altamente personalizables, un controlador de datos podría configurarlos potencialmente para que se usen para dicho procesamiento. Los controladores de datos deben tomar esta determinación en función de su uso de Dynamics 365 y Power Platform.
Procesamiento a gran escala 1 de categorías especiales de datos (datos personales que revelan orígenes raciales o étnicos, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, y el procesamiento de datos genéticos, datos biométricos utilizados para identificar de forma única a una persona física, datos relacionados con la salud o datos relativos a la vida sexual o orientación sexual de una persona física), o de datos personales relacionados con condenas y delitos penales; los servicios Dynamics 365 y Power Platform no están diseñados para procesar categorías especiales de datos personales a gran escala.

Sin embargo, un controlador de datos podría usar Dynamics 365 y Power Platform para procesar las categorías especiales enumeradas de datos. Además, Dynamics 365 y Power Platform es un servicio altamente personalizable que permite al cliente realizar un seguimiento o procesar datos personales, incluidas categorías especiales de datos personales. Pero, como el procesador de datos, Microsoft no posee ningún control sobre ese uso y, normalmente, tendría poca información (o ninguna) de dicho uso.
Supervisión sistemática de un área accesible públicamente a gran escala. Dynamics 365 y Power Platform no están diseñados para llevar a cabo ni facilitar dicha supervisión a gran escala.

Pero un poseedor de los datos podría usarlo para procesar datos recopilados con esa supervisión. Dynamics 365 y Power Platform son servicios altamente personalizables que permiten al cliente realizar un seguimiento o procesar cualquier tipo de datos, incluidos los datos de supervisión. Como procesador de datos, Microsoft no tiene control sobre dicho uso y tiene poca o ninguna información sobre dicho uso. El controlador de datos no está incluido para determinar los usos adecuados de los datos del controlador de datos.

Nota:

1 Con respecto a los criterios según los que el tratamiento se realice a "gran escala", el considerando 91 del RGPD aclara que: "el tratamiento de datos personales no debe considerarse a gran escala si se trata de datos personales de pacientes o clientes por parte de un médico, otro profesional sanitario o un abogado En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria".

Parte 2: Contenido de una EIPD

El artículo 35(7) del RGPD exige que una evaluación de impacto de la protección de datos especifique los fines del procesamiento y una descripción sistemática del procesamiento previsto. Una descripción sistemática en un DPIA completo podría incluir factores como los tipos de datos procesados, cuánto tiempo se conservan los datos, dónde se encuentran y transfieren los datos y qué terceros pueden tener acceso a los datos. Idealmente, un diagrama de flujo de datos admite la descripción. Además, en la EIPD tiene que incluirse lo siguiente:

  • Una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;
  • Una evaluación de los riesgos para los derechos y libertades de las personas físicas; Y
  • Las medidas utilizadas para abordar los riesgos, incluidas las medidas de seguridad, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del RGPD teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas interesadas.

La tabla siguiente contiene información sobre Dynamics 365 y Power Platform que es relevante para cada uno de esos elementos. Como en la parte 1, los controladores de datos deben tener en cuenta los detalles que se proporcionan a continuación, junto con cualquier otro factor relevante, en el contexto de las implementaciones y usos específicos del controlador de datos de Dynamics 365 o Power Platform.

Elementos de un EIPD Información relevante sobre Dynamics 365 y Power Platform
Finalidades del tratamiento La finalidad del procesamiento de datos mediante Dynamics 365 y Power Platform viene determinada por el controlador que los implementa, configura y usa.

Según lo especificado por los Términos del producto y el Complemento de protección de datos de productos y servicios de Microsoft (DPA), Microsoft, como procesador de datos, procesa los datos del cliente para proporcionar al cliente servicios en línea de acuerdo con las instrucciones documentadas del cliente.

Como se detalla en los Términos del productoy el Complemento de protección de datos de productos y servicios (DPA), Microsoft también usa datos personales para admitir un conjunto limitado de operaciones empresariales.

Microsoft es el responsable del procesamiento de datos personales para admitir estas operaciones empresariales específicas. Por lo general, Microsoft agrega datos personales antes de usarlos para nuestras operaciones empresariales, lo que elimina la capacidad de Microsoft para identificar individuos específicos. Microsoft usa datos personales en la forma menos identificable que admitirá el procesamiento necesario para las operaciones empresariales.

Microsoft no usará los datos de cliente ni la información derivada de ellos para la generación de perfiles o para fines publicitarios o comerciales similares.

Dynamics 365 es una plataforma en línea para el procesamiento que cuenta con varios servicios en línea discretos, cada uno de los cuales tiene distintos propósitos de procesamiento. Puede encontrar descripciones de cada oferta de servicio Dynamics 365 aquí y la oferta del servicio Power Platform aquí.

Dynamics 365 y Power Platform procesan datos personales solo para proporcionar a los clientes sus servicios en línea, incluidos los fines compatibles con la prestación de esos servicios.
Categorías de datos personales procesados Datos de cliente: todos los datos, incluidos archivos de texto, sonido, vídeo o imagen y software, que los clientes proporcionan a Microsoft o que se proporcionan en nombre de los clientes mediante el uso de Microsoft servicios en línea. Se incluyen los datos que los clientes cargan para su almacenamiento o procesamiento, así como las personalizaciones.

Datos generados por el servicio: datos que Microsoft genera al operar un servicio, como datos de uso o rendimiento. La mayoría de estos datos contienen identificadores seudónimos generados por Microsoft.

Datos de servicios profesionales: todos los datos, incluidos todos los archivos de texto, sonido, vídeo, imagen o software proporcionados a Microsoft por o en nombre del Cliente (o que el Cliente autoriza a Microsoft a obtener de un Producto) u obtenidos o procesados de otro modo por o en nombre de Microsoft a través de una interacción con Microsoft para obtener servicios profesionales.

Para obtener más información sobre los datos procesados por Dynamics 365 y Power Platform, consulte los Términos del producto y el Complemento de protección de datos de productos y servicios de Microsoft.
Retención de datos Microsoft conservará los datos del cliente mientras dure el derecho del cliente a usar el servicio, hasta que todos los datos del cliente se eliminen o devuelvan de acuerdo con las instrucciones del cliente o los términos de los Términos del producto y el Anexo de protección de datos de productos y servicios (DPA). Durante el término de la suscripción del cliente, el cliente tendrá la capacidad de acceder a los datos del cliente almacenados en cada servicio en línea y extraerlos. Microsoft normalmente conservará los datos de cliente almacenados en el Servicio en línea en una cuenta de función limitada durante 90 días después de la expiración o finalización de la suscripción del cliente para que el cliente pueda extraer los datos. Una vez finalizado el período de retención de 90 días, Microsoft deshabilitará la cuenta de cliente y eliminará los datos del cliente.

El cliente puede eliminar los datos del cliente y los datos seudónimos en cualquier momento mediante las funcionalidades descritas en Dynamics 365 y la Guía de derechos del interesado de Power Platform.
Ubicación y transferencias de datos personales Los clientes tienen la capacidad de aprovisionar datos de clientes en reposo dentro de regiones geográficas especificadas, sujetos a ciertas excepciones, tal como se establece en el Anexo de protección de datos de productos y servicios (DPA). Para obtener más información sobre las implementaciones de servicio y la residencia de datos, visite el Centro de confianza de Microsoft y un artículo de Dynamics 365 y Power Platform sobre la ubicación y disponibilidad de datos en Dynamics 365 ubicaciones de datos y disponibilidadinternacional de Microsoft Power Platform.

En el caso de los datos personales transferidos fuera del Espacio Económico Europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las medidas de seguridad adecuadas, tal como se describe en el artículo 46 del RGPD. Además de los compromisos de Microsoft en virtud de las cláusulas contractuales estándar para procesadores y otros contratos modelo, Microsoft sigue cumpliendo los términos del Marco de privacidad de datos.
Una evaluación de la necesidad y la proporcionalidad de las operaciones de elaboración en relación con los objetivos Esa evaluación dependerá de las necesidades y los propósitos de procesamiento del controlador de datos.

Microsoft toma medidas como la agregación de datos personales utilizados por Microsoft para admitir operaciones empresariales que admitan la prestación de los servicios, lo que minimiza el riesgo de dicho procesamiento para los interesados que usan el servicio.

En relación con el procesamiento realizado por Microsoft, dicho procesamiento es necesario y proporcional a la finalidad de la prestación de los servicios para el controlador de datos.
Una evaluación de los riesgos para los derechos y libertades de los sujetos de datos Los principales riesgos para los derechos y libertades de los interesados por el uso de Dynamics 365 o Power Platform dependerán de cómo y en qué contexto implementa, configura y usa el controlador de datos.

Microsoft toma medidas como la agregación de datos personales cuando se usan para admitir operaciones empresariales, lo que reduce el riesgo de dicho procesamiento para los interesados que usan el servicio.

Pero, como con cualquier servicio, los datos personales que contenga el servicio pueden estar en riesgo de accesos no autorizados o divulgaciones por error. A continuación se describen las medidas que Microsoft toma para abordar estos riesgos.
Uso compartido de datos con subprocesadores terceros Microsoft comparte datos con terceros que actúan como nuestros subprocesadores (según se define en el RGPD) para admitir funciones como el soporte técnico y el cliente, el mantenimiento del servicio y otras operaciones. Los subprocesadores a los que Microsoft transfiere datos de cliente, datos de soporte técnico o datos personales habrán suscrito contratos por escrito con Microsoft que no sean menos protectores que los términos del Anexo de protección de datos de productos y productos y servicios (DPA). Todos los sub procesadores de terceros con los que se comparten los datos de los clientes de los servicios centrales en línea de Microsoft están incluidos en la lista de sub contratistas de servicios en línea.
Derechos del titular de los datos (DSR) Al operar como procesador, Microsoft pone a disposición de los clientes (responsables del tratamiento de datos) los datos personales de sus titulares y la capacidad de cumplir las solicitudes de los titulares de los datos cuando éstos ejercen sus derechos en virtud de la GDPR. Microsoft lo hace de forma coherente con la funcionalidad del producto y nuestro rol como procesador.  Si Microsoft recibe una solicitud de los interesados del cliente para ejercer uno o varios de sus derechos en virtud del RGPD, redirigiremos al interesado para que realice la solicitud directamente al responsable de los datos.

Consulte la guía de solicitudes de interesados de Dynamics 365 y Power Platform para obtener información para los controladores de datos sobre cómo admitir los derechos del interesado mediante las funcionalidades de Dynamics 365 y Power Platform.

Por lo general, Microsoft agrega datos personales antes de usarlos para nuestras operaciones empresariales y no está en condiciones de identificar los datos personales de una persona específica en el agregado. Esto reduce el riesgo de privacidad para el individuo. Cuando Microsoft no está en condiciones de identificar a la persona, no puede apoyar los derechos del interesado para el acceso, la supresión, la portabilidad o la restricción u objeción del procesamiento.
Las medidas previstas para dar solución a los riesgos, incluidas las protecciones, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y otras personas relacionadas. Microsoft se compromete a ayudar a proteger la seguridad de los datos del cliente. Las medidas de seguridad que Microsoft toma se describen en detalle en los Términos del producto.

Microsoft cumple con estrictas normas de seguridad y una metodología de protección de datos líder en la industria. Microsoft mejora continuamente sus sistemas para hacer frente a las nuevas amenazas. Puede encontrar más información sobre la gobernanza de la nube y las prácticas de privacidad en la página Administración del cumplimiento del Centro de confianza en la nube .

Microsoft toma medidas técnicas y organizativas razonables y adecuadas para proteger los datos personales que trata. Estas medidas incluyen, entre otras, directivas y prácticas de privacidad internas, compromisos contractuales y certificaciones estándar internacionales y regionales. Encontrará más información en la página Privacidad del Centro de confianza.

Para obtener una lista detallada de los controles administrados por Microsoft (controles técnicos y de procesos empresariales) para la seguridad implementada por Dynamics 365 y Power Platform, visite el Portal de confianza de servicios. Además, cuando Microsoft actúa como procesador de datos, cumple con todas las demás obligaciones del RGPD que se aplican a los procesadores de datos.

Cuando Microsoft procesa datos personales para sus operaciones empresariales, cumple con las obligaciones del RGPD que se aplican a los controladores de datos.

Más información