Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Serviços Professionais da Microsoft

Introdução aos serviços profissionais da Microsoft

Serviços Profissionais da Microsoft inclui um grupo diversificado de arquitetos técnicos, engenheiros, consultores e profissionais de suporte dedicados a cumprir a missão da Microsoft de capacitar os clientes a fazer mais e alcançar mais. Saiba mais sobre os Serviços Profissionais da Microsoft visitando a página Confiabilidade dos Serviços Profissionais da Microsoft.

Os Serviços Profissionais da Microsoft leva a sério suas obrigações sob o Regulamento Geral de Proteção de Dados (RGPD). As informações neste documento são projetadas para fornecer informações sobre ofertas de suporte e consultoria da Microsoft que os clientes podem usar ao preparar Avaliações de Impacto de Proteção de Dados (AIPDs) em RGPD.

Introdução às AIPDs

De acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD), os controladores de dados devem preparar uma AIPD para processar operações que "provavelmente resultarão em um alto risco para os direitos e as liberdades de pessoas físicas". Não há nada inerente nos Serviços Profissionais da Microsoft que necessariamente exigiria a criação de uma AIPD pelo controlador de dados que esteja usando esses produtos. Na verdade, a necessidade ou não de uma AIPD dependerá dos detalhes e do contexto do tipo de serviço e como o controlador de dados usa os serviços profissionais.

O objetivo deste documento é fornecer informações sobre os Serviços Profissionais aos Controladores de Dados, para lhes ajudar a determinar se a AIPD é necessária e, se esse for o caso, a saber que detalhes devem ser incluídos.

Parte 1: Determinar se a DPIA é necessária

O Artigo 35 do RGPD exige que o controlador de dados crie uma Avaliação de Impacto de Proteção de Dados "Quando um certo tipo de tratamento em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, provavelmente resultará em um alto risco para os direitos e liberdades de pessoas físicas". O artigo ainda apresenta os fatores particulares que indicam um risco elevado, os qual é discutido na tabela a seguir. Para determinar se a AIPD é necessária, o controlador de dados deve considerar esses fatores, além de outros que possam ser relevantes, levando em conta as implementações e os usos específicos dos Serviços Profissionais.

Fator de risco Informações relevantes sobre os Serviços Profissionais
Avaliação sistemática e completa dos aspectos pessoais relacionados a pessoas singulares, baseada no tratamento automatizado, incluindo a criação de perfis, sendo com base nela adotadas decisões que produzem efeitos legais relativamente à pessoa física ou que a afetem significativamente de forma semelhante; Os Serviços Profissionais executam determinada rotina ou processamento automatizado de dados, como suporte a interrupção/correção (por exemplo, assistência aos clientes quando o computador quebra), migração de conta e análise de vulnerabilidades do sistema. As soluções de Serviços Profissionais, excluindo o desenvolvimento do cliente abordado posteriormente nesta tabela, não se destinam a executar o processamento em que as decisões se baseiam que produzem efeitos legais ou semelhantemente significativos sobre indivíduos.
Processamento em grande escala 1 de categorias especiais de dados (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéricos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa) ou de dados pessoais relacionados a crimes e condenações criminais; Os Serviços Profissionais não se destinam a ser utilizados em trabalhos que exijam o processamento de categorias especiais de dados pessoais, excluindo o desenvolvimento do cliente coberto mais adiante nessa tabela.

No entanto, um controlador de dados pode usar soluções de consultoria de serviços profissionais para processar as categorias especiais de dados enumeradas. Por exemplo, os Serviços Profissionais oferecem desenvolvimento de banco de dados do setor de saúde que pode ser usado por um controlador de dados para processar dados pessoais associados a uma condição de integridade. É responsabilidade do controlador avaliar e restringir ou documentar esse uso conforme apropriado.
Monitoramento sistemático de uma área de acesso público em grande escala Os Serviços Profissionais não se destinam a ser utilizados em trabalhos que exijam ou facilitem ou facilitem esse monitoramento, excluindo o desenvolvimento do cliente coberto mais adiante nessa tabela.

Se um controlador de dados usasse Serviços Profissionais para desenvolver esse tipo de sistema ou usasse sistemas de TI para processar dados coletados por meio desse monitoramento, isso seria responsabilidade do controlador de dados, conforme descrito mais adiante nessa tabela.

Observação

1 Com relação aos critérios de que o processamento é em “grande escala”, o Recital 91 do RGPD esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes por um médico individual, outro profissional de saúde ou advogado. Nesses casos, uma avaliação de impacto de proteção de dados não deve ser obrigatória ”.

[Anotação de desenvolvimento personalizado] Os Serviços Profissionais oferecem uma ampla variedade de soluções de consultoria. Um controlador de dados poderia solicitar uma solução que, de acordo com os critérios acima, seria uma solução de alto risco. Por exemplo, um controlador de dados pode solicitar que os Serviços Profissionais criem uma solução para desenvolver um mecanismo de engenharia de negócios para decisões de emprego ou aplicativos de crédito ou uma solução que envolva rastreamento de usuários, uso especializado de Inteligência Artificial (AI) ou processamento de categorias especiais. de dados pessoais.

No início de um compromisso, os Serviços Profissionais têm processos para avaliar e abordar soluções de alto risco que podem ser solicitadas para o trabalho. Como parte disto, os Serviços Profissionais podem exigir garantias do controlador de dados sobre a conformidade com o RGPD (por exemplo, termos contratuais), um plano para o desenvolvimento de uma AIPD ou outros critérios (por exemplo, diretrizes de operação acordadas) conforme requerido por um processador de dados sob o RGPD. No entanto, independentemente das ações da Microsoft, é responsabilidade do controlador de dados desenvolver a AIPD com a entrada, quando aplicável, do processador dos dados do cliente.

Parte 2: Conteúdo de uma DPIA

O Artigo 35(7) exige que a Avaliação de Impacto sobre a Proteção de Dados especifique os propósitos para o processamento, além de uma descrição sistemática desse processamento previsto. A descrição sistemática de uma DPIA abrangente pode incluir fatores como os tipos de dados processados, por quanto tempo os dados ficarão retidos, onde os dados estão localizados e para onde serão transferidos e os terceiros que podem ter acesso a esses dados. Além disso, a DPIA deve incluir:

  • uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos;
  • uma avaliação dos riscos aos direitos e às liberdades dos indivíduos; e
  • as medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais, além de demonstrar a conformidade com este Regulamento considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos.

A tabela a seguir contém informações sobre os Serviços Profissionais da Microsoft que são relevantes para cada um desses elementos. Assim como na Parte 1, os controladores de dados devem considerar os detalhes apresentados a seguir no contexto de implementação e uso específicos do Serviços Profissionais.

Elemento de uma DPIA Informações relevantes sobre Serviços Profissionais
Propósitos de processamento Os propósitos de processamento de dados usando o Serviços Profissionais são determinados pelo controlador que o implementa, configura e utiliza.

Conforme especificado pelo Adendo de Proteção de Dados de Serviços Profissionais da Microsoft (MPSDPA), a Microsoft, como processador de dados, processa Dados de Suporte e Consultoria apenas para fornecer os serviços solicitados ao nosso cliente, o controlador de dados. A Microsoft não usará dados de suporte e consultoria ou informações derivadas dela para fins comerciais ou similares.
Os propósitos de processamento de dados usando o Serviços Profissionais são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado pelo Adendo de Proteção de Dados de Serviços Profissionais da Microsoft (MPSDPA), a Microsoft, como processador de dados, processa Dados de Suporte e Consultoria apenas para fornecer os serviços solicitados ao nosso cliente, o controlador de dados. A Microsoft não usará dados de suporte e consultoria ou informações derivadas dela para fins comerciais ou similares.
Categorias de dados pessoais processados Os dados de Suporte e Consultoria significam que todos os dados, incluindo todo o texto, som, vídeo, arquivos de imagens ou software, são fornecidos à Microsoft pelo Cliente ou em seu nome (ou que o Cliente autoriza a Microsoft a obtê-los de um Serviço Online) por meio de um envolvimento com a Microsoft para obter Serviços Profissionais ou Suporte. Isso pode incluir informações coletadas por telefone, chat, e-mail ou formulário da web. Pode incluir descrição de problemas, arquivos transferidos para a Microsoft para resolver problemas de suporte, solucionadores de problemas automatizados ou acessando remotamente os sistemas do cliente com a permissão do cliente.

Os dados do cliente e os dados de suporte não incluem dados de contato ou cobrança do cliente, como informações de assinatura e dados de pagamento, que a Microsoft coleta e processa na qualidade de controladora de dados.
Retenção de dados A Microsoft manterá os Dados de Suporte e Consultoria durante o envolvimento do cliente mais um período de retenção após o término do compromisso, conforme necessário, para garantir a qualidade e a continuidade do serviço. Por exemplo, depois que um caso de suporte é fechado, os dados normalmente são retidos por um período para garantir a capacidade de fazer referência a eles se o problema surgir novamente e o caso for reaberto.

Quando os Serviços Profissionais fornecem suporte, o comprimento do compromisso é definido quando o caso de suporte é fechado. Quando os Serviços Profissionais fornecem serviços de consultoria, o comprimento do compromisso geralmente é definido pela ordem de trabalho. Em outros casos, o comprimento do compromisso é definido pela manutenção da relação de negócios. Em todos os casos, os Dados de Suporte e Consultoria serão excluídos ou retornados corretamente ou de acordo com as instruções do cliente sem atraso indevido usando os recursos descritos no Guia de Direitos de Entidade de Dados dos Serviços Profissionais.
Localização e transferências de dados pessoais Devido à natureza dos Serviços Profissionais, incluindo a necessidade de fornecer suporte 24 horas por dia, os dados podem ser transferidos para todo o mundo. Uma lista de locais em que a Microsoft opera está disponível mediante solicitação. Para serviços de consultoria, os dados podem ser mantidos no país, se acordados dentro da ordem de serviço.

Para os dados pessoais do Espaço Econômico Europeu, Suíça e Reino Unido, a Microsoft garantirá que as transferências de dados pessoais para um terceiro país ou organização internacional estejam sujeitas às salvaguardas apropriadas, conforme descrito no Artigo 46 do GDPR. Além dos compromissos da Microsoft sob as Cláusulas Contratuais Padrão para processadores e outros modelos de contratos, a Microsoft continua a cumprir os termos da Estrutura da Defesa de Privacidade UE-EUA, mas não mais dependerá dela como base para a transferência de dados pessoais da UE/EEE para os Estados Unidos.
Compartilhamento de dados com terceiros A Microsoft compartilha dados com terceiros que atuam como nossos sub-processadores e para oferecer funções como atendimento ao cliente e suporte técnico, manutenção de serviço e outras operações. Qualquer subcontratado para o qual a Microsoft transferir Dados de Consultoria e Suporte terá firmado contrato por escrito com a Microsoft com o mesmo nível de proteção dos Termos de Proteção de Dados dos MPSDPA. Todos os sub-processadores de terceiros com os quais Dados de Suporte e Consultoria são compartilhados sob o MPSDPA estão incluídos na Lista de Contratados de Suporte Comercial da Microsoft.

A Microsoft não revelará os Dados de Suporte e Consultoria às autoridades legais, a menos que exigido por lei. Se as autoridades contatarem a Microsoft exigindo os Dados de Suporte e Consultoria, a Microsoft irá empenhar-se em redirecionar as autoridades para solicitar os dados diretamente do cliente. Se for obrigada a divulgar os Dados de Suporte e Consultoria às autoridades, a Microsoft irá imediatamente notificar o cliente e fornecer uma cópia da solicitação, a menos que seja proibida por lei.

Se receber qualquer solicitação de terceiros para a obtenção dos Dados de Suporte e Consultoria, a Microsoft irá imediatamente notificar o cliente, a menos que seja proibida por lei. A Microsoft rejeitará a solicitação, a menos que seja obrigada por lei a atendê-la. Se a solicitação for válida, a Microsoft irá empenhar-se em redirecionar o terceiro para solicitar os dados diretamente do cliente.
Direitos dos titulares dos dados Ao operar como um processador, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais de seus titulares de dados e a capacidade de atender às solicitações do titular dos dados quando eles exerciam seus direitos sob o RGPD. Fazemos isso de maneira consistente com a funcionalidade do produto e nossa função como processador. Se recebermos uma solicitação dos dados do cliente sujeitos a exercer um ou mais de seus direitos sob o RGPD, redirecionamos o titular dos dados para fazer sua solicitação diretamente para o controlador de dados.

A Documentação de Solicitação dos Titulares dos Dados aos Serviços Profissionais sobre o GDPR fornece uma descrição de como o cliente pode lidar com as obrigações referentes aos seus dados pessoais no Serviços Profissionais.
Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos Essa avaliação dependerá das necessidades e propósitos de processamento do controlador.

Em relação ao processamento realizado pela Microsoft, ele é necessário e proporcional ao propósito de fornecer os serviços ao controlador de dados. A Microsoft se compromete a isto na MPSDPA.
Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados Os principais riscos aos direitos e liberdades dos titulares de dados pelo uso dos Serviços Profissionais será uma função de como e do contexto em que o controlador dos dados implementa, configura e usa os serviços profissionais e qualquer solução fornecida pelos Serviços Profissionais.

No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para lidar com tais riscos são discutidas mais adiante nesse artigo.
Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos. A Microsoft está comprometida em ajudar a proteger a segurança das informações do cliente. Em conformidade com as cláusulas do Artigo 32 do RGPD, a Microsoft implementou, manterá e seguirá as medidas técnicas e organizacionais apropriadas com a intenção de proteger os Dados de Suporte e Consultoria contra o acesso, a divulgação, a alteração, a perda ou a destruição acidental, não autorizada ou ilegal.

Além disso, a Microsoft cumpre todas as demais obrigações do RGPD que se aplicam a processadores de dados, incluindo, entre outras, avaliações do impacto na proteção dos dados e manutenção de registros.

Saiba mais