Resumen del reglamento general de protección de datos

El reglamento general de protección de datos (RGPD), añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. Este documento lo guiará a información que le ayude a respetar los derechos y cumplir las obligaciones del reglamento general de protección de datos, al usar los productos y servicios de Microsoft. Un plan de acción recomendado para el reglamento general de protección de datosylistas de comprobación de responsabilidadproporcionan recursos adicionales para evaluar e implementar el cumplimiento del reglamento general de protección de datos.

Terminología

Definiciones útiles de los términos del RGPD utilizados en este documento:

  • Controlador de datos (controlador): una persona jurídica, autoridad pública, agencia u otro organismo, que por sí solos o conjuntamente con otras personas, determinan el propósito y el medio del procesamiento de datos personales.
  • Datos personales e interesado: cualquier información relacionada con una persona física identificada o una persona natural identificable (interesado), una persona física identificable es la que puede identificarse, directa o indirectamente.
  • Procesador: una persona física o jurídica, entidad pública, agencia u otro organismo que procese datos personales en nombre del controlador.
  • Datos de clientes: Datos producidos y almacenados en las operaciones diarias de su empresa.

¿Qué es el RGPD?

El reglamento general de protección de datos (RGPD) otorga derechos a los usuarios para administrar los datos personales recopilados por una organización. Estos derechos se pueden ejercer a través de una solicitud de temas de datos (STD). La organización debe proporcionar información puntual sobre DSR y violaciones de datos, y llevar a cabo evaluaciones de impacto de la protección de datos (EIPA).

Se deben tener en cuenta varios puntos al implementar o evaluar requisitos del Reglamento General de Protección de Datos (RGPD):

  • Desarrollando o evaluando la Directiva de privacidad de los datos de cumplimiento normativo del reglamento general de protección de datos (RGPD).
  • Evaluar la seguridad de los datos de su organización.
  • ¿Quién es su controlador de datos?
  • ¿Qué procesos de seguridad de datos tiene que llevar a cabo?

Elplan de acción recomendado para el reglamento general de protección de datos (RGPD) y el control en las listas de comprobaciónpueden conducir a tener un pensamiento adicional puntual.

Las siguientes tareas están relacionadas con el cumplimiento de los estándares del reglamento general de protección de datos (RGPD). Siga los vínculos de la lista para obtener más información sobre la implementación.

  • Solicitudes de temas de datos (STD). Una solicitud formal de datos, sujetos a un controlador para realizar una acción (cambiar, restringir, acceder) en sus datos personales.
  • Notificación de infracciones. Según el reglamento general de protección de datos (RGPD), una infracción de datos personales es "una infracción de seguridad que se traduce en la destrucción accidental o ilegal, la pérdida, la modificación, la divulgación no autorizada o el acceso a datos personales transmitidos, almacenados o procesados de alguna forma".
  • Evaluación de impacto de la protección de datos (EPIA). Los controladores de datos son requeridos en el reglamento general de protección de datos (RGPD), para preparar una evaluación de impacto de la protección de datos (EIPA) para las operaciones de datos que sean "probables que resulten en un alto riesgo para los derechos y libertades de las personas naturales".

Como se ha mencionado anteriormente, el plan de acción recomendado para las listas de comprobación de la preparación de el reglamento general de protección de datos (RGPD), y el control en las listas de comprobación ofrece una guía de conformidad para implementar o evaluar el reglamento general de protección de datos (RGPD), con los productos y servicios de Microsoft.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento tiene una evaluación predefinida para esta normativa para los clientes de Enterprise E5. Busque la plantilla para generar la evaluación en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Solicitud de temas de datos (STD).

El RGPD concede a las personas (o interesados) determinados derechos en relación con el procesamiento de sus datos personales, incluido el derecho a corregir datos inexactos, borrar datos o restringir su procesamiento, recibir sus datos y cumplimentar una solicitud para transmitirlos a otro responsable del tratamiento. El controlador es responsable de proporcionar a tiempo una respuesta coherente del reglamento general de protección de datos (RGPD). Para obtener información técnica, consulte Solicitudes de temas de datos.

Preguntas frecuentes sobre STD

¿Qué medidas serán necesarias para completar una solicitud de temas de datos (STD)?

Una STD implica seis actividades: descubrir, obtener acceso, rectificar, limitar, exportar y eliminar.

¿Cuáles son los orígenes de datos?

Una gran fracción de los datos de una organización se genera en aplicaciones de Office como Excel y Outlook. Es posible que también encuentre información relevante para una solicitud de temas de datos (STD) enopciones generadas por productos y servicios de Microsoft, y registrosgenerados por el sistema.

¿Qué tipos de datos debe buscar?

Es posible que los datos personales se encuentren en datos de clientes, opciones generadas por productos y servicios de Microsoft y registros generados por el sistema.

¿Cómo se buscarán los datos personales?

La búsqueda de datos personales puede variar entre todos los productos y servicios de Microsoft. Las herramientas de búsqueda incluyen las capacidades búsqueda de contenido o búsqueda en aplicación. Los administradores pueden acceder a los registros generados spor el sistema asociados a la actividad de un usuario.

¿En que formato debería estar disponible la información personal?

El reglamento general de protección de datos (RGPD) "derecho de portabilidad de datos" permite temas de datos para solicitar una copia electrónica de sus datos personales en un "formato estructurado, común y legible", y solicitar que su organización transmita estos archivos a otro controlador de datos.

¿Qué exige el RGPD y cuáles son mis obligaciones como responsable del tratamiento?

Como responsable del tratamiento, el RGPD le exige que sea capaz de:

  • Proporcionar a los interesados una copia de sus datos personales, junto con una explicación de la categoría de los datos que se procesan, los fines del procesamiento y las categorías de terceros a quienes es posible que se revelen sus datos.
  • Ayudar a todas y cada una de las personas a ejercer su derecho a corregir datos personales inexactos, borrar datos o restringir su procesamiento, recibir sus datos en un formato legible y, si procede, cumplimentar una solicitud para transmitirlos a otro responsable del tratamiento.

¿Qué exige el RGPD y cuáles son las responsabilidades de Microsoft como encargado del tratamiento?

Hemos de implementar las medidas técnicas y organizativas adecuadas para ayudarle a responder a las solicitudes de los interesados en el ejercicio de sus derechos, tal y como se ha descrito antes.

¿Dónde puedo encontrar información relacionada con RGPD para servidores locales?

Puede encontrar una serie de artículos relacionados con el RGPD aquí. Elaborados por Microsoft, proporcionan métodos recomendados para cargas de trabajo local de SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server y archivos compartidos locales.

¿Cómo le permite Microsoft responder a las solicitudes de los interesados?

Los servicios en línea ofrecen una gran cantidad de capacidades para permitirle, como controlador, responder a la solicitud de un sujeto de datos. Los servicios empresariales en línea y los controles administrativos de Microsoft le ayudan a actuar sobre los datos personales en respuesta a las solicitudes de derechos de los sujetos de datos, permitiéndole descubrir, obtener acceso, rectificar, restringir, eliminar y exportar los datos personales que residen en los datos administrados por el controlador y almacenados en la nube de Microsoft. Los servicios en línea también proporcionan datos en formato de lectura mecánica cuando lo necesite.

Evaluaciones de impacto de protección de datos

De acuerdo con el reglamento general de protección de datos (RGPD), los controladores de datos son requeridos para preparar unaevaluación de impacto de la protección de datos (EPIA) para procesar operaciones que sean "probables que resulten en un alto riesgo para los derechos y libertades de las personas naturales". No hay nada inherente a los productos y servicios de Microsoft que necesitan la creación de un evaluación de impacto de la protección de datos (EIPA). En su lugar, depende de los detalles de la configuración de Microsoft. Encontrará una lista de los detalles que debe considerar de Office en Contenido de la evaluación de impacto de la protección de datos (EIPA)

Preguntas frecuentes sobre EIPA

¿Cuándo debería llevar a cabo una evaluación de impacto de la protección de datos (EIPA)?

Los controladores son necesarios para realizar una evaluación de impacto de la protección de datos (EIPA), solucionar problemas de seguridad de datos personales o como resultado de una infracción de datos. Se tratan ejemplos específicos de factores de riesgo en Office para determinar si se necesita una evaluación de impacto de la protección de datos (EIPA).

¿Qué se necesita para elaborar una EIPA?

El reglamento general de protección de datos (RGPD) ordena que una evaluación de impacto de la protección de datos (EIPA) incluya:

  • Evaluación de la necesidad y la proporcionalidad del procesamiento de datos en relación con el propósito de la DPIA.
  • Una evaluación de los riesgos para los derechos y libertades de los temas de los datos
  • Las medidas previstas para abordar los riesgos, las protecciones, las medidas de seguridad y los mecanismos para asegurar la protección de los datos personales y demostrar el cumplimiento de el reglamento general de protección de datos (RGPD).

¿Cuáles son mis obligaciones como responsable del tratamiento?

En el RGPD, como responsable del tratamiento está obligado a realizar las EIPA antes del procesamiento de datos que pueda derivarse en un alto riesgo para los derechos y las libertades de las personas, en particular, el procesamiento con nuevas tecnologías. El RGPD proporciona la siguiente lista no exhaustiva de los casos en que deben realizarse evaluaciones EIPA:

  • Procesamiento automatizado con el fin de crear perfiles y realizar actividades similares que tengan efectos legales o afecten significativamente a los interesados;
  • Procesamiento a gran escala de categorías especiales de datos personales (datos que revelan el origen étnico o racial, las opiniones políticas y otros similares) o de datos relativos a delitos y condenas penales;
  • Supervisión sistemática a gran escala de un área de acceso público.

El RGPD exige además que se consulte a la autoridad de protección de datos (DPA) antes de comenzar cualquier procesamiento si no se pueden identificar suficientes procesos que minimicen los riesgos altos para los interesados.

¿Cuáles son las responsabilidades de Microsoft?

Microsoft practica la privacidad por diseño y la privacidad de forma predeterminada en sus funciones de ingeniería y negocios. En el marco de estas iniciativas, Microsoft realiza revisiones completas de privacidad de las operaciones de procesamiento de datos que tienen posibilidades de afectar a los derechos y las libertades de los interesados. Los equipos de privacidad integrados en los grupos de servicios revisan el diseño y la implementación de los servicios para asegurarse de que los datos personales se procesan de manera respetuosa acorde a la legislación internacional, las expectativas de los usuarios y nuestros compromisos explícitos.

Estas revisiones de privacidad tienden a estar pormenorizadas (es posible que un servicio concreto sea objeto de docenas o centenares de revisiones). Microsoft recoge estas revisiones de privacidad pormenorizadas en evaluaciones del impacto en la protección de datos (EIPA) que cubren las principales agrupaciones de procesamiento, que luego revisa el responsable de protección de datos (DPO) de la UE de Microsoft. El DPO evalúa los riesgos relacionados con el procesamiento de datos para asegurarse de que existen suficientes circunstancias atenuantes. Si el DPO encuentra riesgos sin mitigar, recomienda modificaciones al grupo de ingeniería. Las EIPA se revisarán y actualizarán de acuerdo con los cambios en los riesgos de protección de datos.

Como encargado del tratamiento, Microsoft tiene la obligación de asistir a los responsables del tratamiento en garantizar el cumplimiento de los requisitos de EIPA establecidos en el RGPD. Para apoyar a nuestros clientes, las secciones relevantes de las DPIA de Microsoft son resumidas y serán proporcionadas a través de esta sección en futuras actualizaciones con la intención de permitir a los controladores que dependen de los servicios Microsoft aprovechar los resúmenes para crear sus propias DPIA.

Notificación de infracciones

El RGPD impone requisitos de notificación a los responsables del tratamiento y a los encargados del tratamiento en caso de vulneración de datos personales. Como procesador de datos, Microsoft se asegura de que los clientes puedan cumplir con los requisitos de notificación de infracciones de la GDPR. Los controladores de datos son responsables de evaluar los riesgos para la privacidad de los datos y determinar si una infracción requiere la notificación de la DPA de un cliente. Microsoft proporciona la información necesaria para realizar la evaluación. Para obtener más información sobre cómo Microsoft detecta y responde ante una violación de datos personales, enNotificación de violación de datos según el reglamento general de protección de datos (RGPD).

Preguntas frecuentes sobre notificación de infracciones

¿Qué constituye una vulneración de datos personales en virtud del RGPD?

Los datos personales se refieren a cualquier información relacionada con un usuario individual que pueda usarse para identificarlo directa o indirectamente. Una vulneración de datos personales es "una vulneración de seguridad que se traduce en la destrucción accidental o ilegal, pérdida, modificación, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados de alguna otra forma".

¿Cuáles son sus obligaciones como responsable del tratamiento?

Si se produjera una vulneración de datos personales que pueda derivarse en un riesgo alto para los derechos y las libertades de las personas (tales como discriminación, robos de identidad, fraude, perjuicio financiero o daños a su reputación), el RGPD exige que usted:

  • Se notifique a la correspondiente autoridad de protección de datos (DPA) en las 72 horas siguientes tener conocimiento de ello; por ejemplo, después de que Microsoft se lo notifique. Si no notifica a la DPA dentro de ese período de tiempo, tendrá que explicarle por qué a la DPA. Este aviso a la DPA es obligatorio aunque no sea probable que el riesgo para las personas derive en alto riesgo.
  • Notifique la vulneración a los interesados sin dilación.
  • La documentación de la vulneración incluye una descripción de la naturaleza de la misma como, por ejemplo, cuantas personas se han visto afectadas, el número de registros afectados, las consecuencias de la vulneración y cualquier acción correctiva que su organización proponga o tome.

¿Cuáles son las responsabilidades de Microsoft como encargado del tratamiento?

El RGPD exige que, tras tener conocimiento de una vulneración de datos personales, lo notifiquemos a usted sin la menor dilación. Cuando Microsoft sea el encargado del tratamiento de datos, nuestras obligaciones reflejarán tanto los requisitos del RGPD como nuestras disposiciones contractuales estándar en todo el mundo. Se considera que todas las vulneraciones de datos quedan dentro del ámbito de aplicación; no hay riesgo de umbral de perjuicio. Notificaremos a nuestros clientes si la vulneración de datos ha afectado directamente a Microsoft o a algunos de nuestros subencargados del tratamiento. Tenemos procesos para identificar y contactar rápidamente al personal de incidentes de seguridad que se ha identificado en su organización. Además, todos los subencargados del tratamiento están obligados por contrato a informar de sus propias vulneraciones a Microsoft y ofrecer garantías al respecto.

¿Cómo detectará Microsoft una vulneración de datos?

Todos nuestros servicios y personal siguen procedimientos internos de administración de incidentes para asegurarnos de que tomamos precauciones adecuadas para evitar las vulneraciones de datos desde el primer momento. Pero, además, los servicios en línea de Microsoft tienen controles de seguridad específicos en todas nuestras plataformas para detectar vulneraciones de datos en el caso poco probable de que se produzcan.

¿Cómo responderá Microsoft a una vulneración de datos?

Para ayudarle a detectar una vulneración de datos personales, Microsoft tiene: - Personal de seguridad entrenado en los procedimientos específicos que se deben seguir. - Tiene directivas, procedimientos y controles implementados para asegurarse de que Microsoft mantiene registros detallados. Esta respuesta incluye documentación que captura la información del incidente, sus efectos y la acción correctiva, así como el seguimiento y almacenamiento de la información en nuestros sistemas de administración de incidentes.

¿Cómo me notificará Microsoft en caso de una vulneración de datos?

Microsoft cuenta con directivas y procedimientos para notificarle inmediatamente. Para que cumpla los requisitos de notificación a la DPA, le proporcionaremos una descripción del proceso que usamos para determinar si se ha producido una vulneración de datos personales, una descripción de la naturaleza de la vulneración y una descripción de las medidas que tomamos para mitigar sus efectos.

Listas de comprobación de preparación de responsabilidad para el reglamento general de protección de datos (RGPD)

Estas listas de comprobaciónproporciona una forma cómoda de obtener acceso a la información que puede necesitar para respaldar el reglamento general de protección de datos (RGPD) al usar los productos de Microsoft. Puede administrar elementos de lista de comprobación con el Administrador de cumplimiento de Microsoft Purview haciendo referencia al identificador de control y al título de control en Controles administrados por el cliente en el icono RGPD.

Preguntas frecuentes sobre el RGPD

¿Microsoft realiza compromisos con sus clientes en lo que respecta al RGPD?

Sí. El RGPD requiere que los controladores (como las organizaciones que usan la servicios en línea empresarial de Microsoft) solo usen procesadores (como Microsoft) que proporcionen garantías suficientes para cumplir los requisitos clave del RGPD. Microsoft ha dado un paso proactivo al proporcionar estos compromisos a todos los clientes de licencias por volumen como parte de sus acuerdos.

¿Cómo me ayuda Microsoft a cumplir?

Microsoft proporciona herramientas y documentación para darle soporte en su responsabilidad respecto del RGPD. Esto incluye soporte técnico a los derechos de los interesados de los datos, realización propia de evaluaciones de impacto en la protección de datos y trabajo conjunto para resolver infracciones de datos personales.

¿Qué compromisos hay en los Términos de RGPD?

Los Términos de GDPR de Microsoft reflejan los compromisos exigidos a los procesadores en el Artículo 28. El artículo 28 exige que los encargados del tratamiento se comprometan a:

  • Acudir a subprocesadores solo con el consentimiento del controlador y ser responsable por los subprocesadores.
  • Procesar los datos personales solo de acuerdo con las instrucciones del controlador, incluido lo relativo a las transferencias.
  • Asegurarse de que las personas que procesan los datos personales estén comprometidas con la confidencialidad.
  • Implementar medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad de los datos personales adecuado al riesgo.
  • Ayudar a los controladores en sus obligaciones de responder a las solicitudes de los titulares de los datos para ejercer sus derechos en materia de GDPR.
  • Cumplir con los requisitos de notificación y asistencia en infracciones.
  • Asistir a los controladores con evaluaciones de impacto en la protección de datos y consulta con autoridades supervisoras.
  • Eliminar o devolver datos personales al final de la prestación de servicios.
  • Prestar soporte al controlador con evidencia de que cumple con el RGPD.

¿Sobre qué base facilita Microsoft la transferencia de datos personales fuera de la Unión Europea?

Microsoft aplica desde hace largo tiempo las cláusulas contractuales estándar (también conocidas como las cláusulas modelo) como base para la transferencia de datos para sus servicios en línea para empresas. Las cláusulas contractuales estándar son términos estándar proporcionadas por la Comisión Europea que pueden usarse para transferir datos fuera del Espacio Económico Europeo de manera apropiada. Microsoft ha incorporado las cláusulas contractuales estándar en todos nuestros contratos de licencias por volumen mediante los términos de servicios en línea. En el caso de los datos personales procedentes del Espacio económico europeo, Suiza y el Reino Unido, Microsoft se asegurará de que las transferencias de datos personales a un tercer país o a una organización internacional estén sujetas a las salvaguardias adecuadas, tal como se describe en el artículo 46 de la GDPR. Además de los compromisos de Microsoft con respecto a las cláusulas contractuales estándar para los procesadores y otros contratos modelo, Microsoft sigue soportando los términos del marco Privacy Shield pero ya no dependerá de ellos como base para la transferencia de datos personales desde la UE/FI a los Estados Unidos.

¿Qué más ofrece Microsoft en materia de cumplimiento?

Como una empresa global con clientes en casi todos los países del mundo, Microsoft tiene un sólido conjunto de recursos de cumplimiento para asistir a nuestros clientes. Para ver una lista completa de nuestra oferta en materia de cumplimiento, que incluye FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud y muchas otras, visite nuestros temas de la oferta de cumplimiento.

¿Cómo afectará el RGPD a mi empresa?

El RGPD impone una amplia variedad de requisitos a las organizaciones que recopilan o procesan datos personales, incluido el requisito de cumplir con seis principios clave:

  • Transparencia, equidad y legitimidad en el manejo y uso de datos personales. Deberá ser claro con las personas sobre cómo se usan los datos personales y también necesitará una "base legítima" para procesar dichos datos.
  • Limitar el procesamiento de datos personales a los propósitos especificados, explícitos y legitimados. No podrá volver a usar ni revelar datos personales para propósitos que no sean "compatibles" con el propósito para el que los datos se recopilaron originalmente.
  • Minimizar la recogida y el almacenamiento de datos personales hasta lo apropiado y relevante para la finalidad prevista.
  • Asegurar la precisión de los datos personales y permitir que sean eliminados o rectificados. Tendrá que tomar medidas para asegurarse de que los datos personales que contiene son precisos y se pueden corregir si se producen errores.
  • Limitar el almacenamiento de datos personales. Deberá asegurarse de que los datos personales se conserven solo durante el tiempo necesario para lograr el propósito para el que se recopilan los datos.
  • Garantizar la seguridad, la integridad y la confidencialidad de los datos personales. Su organización debe realizar las acciones necesarias para proteger los datos personales con medidas de seguridad técnicas y organizacionales.

Tendrá que entender cuáles son las obligaciones específicas de su organización para con la GDPR y cómo las cumplirá, aunque Microsoft está aquí para ayudarle en su viaje a la GDPR.

¿Qué derechos deben habilitar las empresas en relación con el RGPD?

El RGPD ofrece a los residentes de la UE control sobre sus datos personales a través de un conjunto de derechos de los «interesados». Aquí se incluyen los derechos siguientes:

  • Acceso a información acerca de cómo se usan los datos personales.
  • Acceso a los datos personales conservados por una organización.
  • Eliminación o corrección de datos personales incorrectos.
  • Rectificación y eliminación de datos personales en determinadas circunstancias (también denominado «derecho al olvido»).
  • Restricciones u objeciones al procesamiento automatizado de los datos personales.
  • Recibir una copia de los datos personales (portabilidad).

¿Quiénes son los Procesadores y los Controladores?

Un controlador es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que, solo o junto con otros, determina los medios de procesamiento de los datos personales y sus fines. Un procesador es una persona física o jurídica, entidad pública, agencia u otro organismo que procese datos personales en nombre del controlador.

¿Se aplica el RGPD a los procesadores y controladores?

Sí, el RGPD se aplica a los controladores y los procesadores. Los controladores solo deben recurrir a procesadores que adopten medidas para cumplir con los requisitos del RGPD. De acuerdo con el RGPD, los procesadores se enfrentan a obligaciones y responsabilidad adicionales en relación con el incumplimiento, o por acciones emprendidas al margen de las instrucciones proporcionadas por el controlador en relación con la Directiva de protección de datos. Las tareas del procesador incluyen, sin limitación, las siguientes:

  • Procesar los datos únicamente según las instrucciones del controlador.
  • Hacer uso de las medidas técnicas y organizativas adecuadas para proteger los datos personales.
  • Colaborar con el controlador en relación con solicitudes de los interesados.
  • Garantizar que los subprocesadores se comprometen con estos requisitos.

¿A cuánto pueden ascender las multas a las empresas por incumplimiento?

Las empresas pueden tener multas de hasta 20 millones de euros o del 4% de su facturación global anual (la cifra más alta), por incumplimientos respecto de determinados requisitos del RGPD. Las reclamaciones individuales adicionales pueden incrementar su riesgo si no cumple con los requisitos del RGPD.

¿Mi empresa debe designar un responsable encargado de la protección de datos (DPO)?

Depende de diferentes factores recogidos en el reglamento. El artículo 37 del RGPD establece que los controladores y procesadores deberán designar un responsable de protección de datos en cualquiera de estos casos: (a) el procesamiento se lleva a cabo por parte de una autoridad u organismo público, excepto en el caso de tribunales cuando actúen conforme con sus funciones judiciales; (b) las actividades principales del controlador o del procesador consisten en actividades de procesamiento que, debido a su naturaleza, ámbito y/o propósito, requiere una supervisión regular y sistemática de los datos a gran escala; o (c) las actividades principales del controlador o del procesador consisten en el procesamiento a gran escala de los datos indicados en el artículo 9 y datos personales relacionados con condenas penales y delitos indicados en el artículo 10.

¿Cuánto costará lograr la conformidad con el RGPD?

La conformidad con el RGPD supondrá costes en términos de dinero y tiempo para la mayoría de organizaciones, si bien puede ser una transición más atenuada para aquellas organizaciones que estén trabajando en un modelo de servicios en la nube con una buena arquitectura y ya hayan implementado un programa eficaz de gobernanza de datos.

¿Cómo puedo saber si los datos que procesa mi organización están cubiertos por el RGPD?

El RGPD regula la recopilación, el almacenamiento, el uso y la forma en que se comparten los «datos personales». Los datos personales se definen ampliamente en el RGPD como cualquier dato que guarde relación con una persona física identificada o identificable.

Entre los datos personales se pueden incluir, entre otros, identificadores en línea (por ejemplo, direcciones IP), información de empleados, bases de datos de ventas, datos de servicios de clientes, formularios de comentarios de los clientes, datos de ubicación, datos biométricos, grabaciones de CCTV, registros de programas de fidelización, información sanitaria y financiera, entre otros muchos más. Incluso pueden incluir información que no parezca personal, como una fotografía de un paisaje sin personas, cuando esta información esté vinculada a un número de cuenta o un código único para una persona identificable. Incluso los datos personales registrados bajo seudónimo pueden constituir datos personales si el seudónimo se puede vincular a una persona concreta.

El procesamiento de determinadas categorías «especiales» de datos personales, como los datos personales que revelan el origen racial o étnico de una persona o relacionados con su salud u orientación sexual, está sujeto a reglas más estrictas que el procesamiento de datos personales «ordinarios». Esta evaluación de datos personales es muy específica, por lo que se recomienda contratar a un experto para evaluar sus circunstancias específicas.

Mi organización solo está procesando datos en nombre de otros usuarios. ¿Sigue siendo necesario cumplir con el RGPD?

Sí. Aunque las reglas son ligeramente distintas, el RGPD se aplica a las organizaciones que recopilación y procesan datos para sus propios propósitos («controladores») y a las organizaciones que procesan los datos en nombre de terceros («procesadores»). Este requisito es un cambio respecto de la Directiva de protección de datos existente, que se aplica a los controladores.

¿Qué se considera específicamente datos personales?

Los datos personales son cualquier información relacionada con una persona identificada o identificable. No hay distinción entre los roles privados, públicos o laborales de una persona. Los datos personales pueden incluir:

  • Nombre
  • Dirección del domicilio
  • Dirección del trabajo
  • Número de teléfono
  • Número de celular
  • Dirección de correo
  • Número de pasaporte
  • Documento de identificación nacional
  • Número de la Seguridad Social (o equivalente)
  • Licencia de conducir
  • Información física, psicológica o genética
  • Información médica
  • Identidad cultural
  • Información bancaria o números de cuenta
  • Número de identificación fiscal
  • Dirección de lugar de trabajo
  • Números de tarjetas de crédito y débito
  • Publicaciones de redes sociales
  • Dirección IP (región de la UE)
  • Datos de ubicación o GPS
  • Cookies

¿Puedo transferir datos fuera de la UE?

Sí, si bien el RGPD regula estrictamente las transferencias de datos de residentes europeos a destinos situados fuera del Espacio Económico Europeo. Puede que deba configurar un mecanismo legal específico, como un contrato, o someterse a determinados mecanismos a fin de habilitar estas transferencias. Microsoft detalla los mecanismos que utilizamos en los términos de los servicios en línea.

Tengo requisitos de retención de datos a través del cumplimiento. ¿Estos requisitos invalidan el derecho de eliminación?

En caso de que existan fundamentos legítimos para el procesamiento continuado y la retención de los datos, como en caso de «cumplimiento con una obligación legal que requiere el procesamiento en virtud de una ley de la Unión o de un Estado miembro a la que el controlador está sometido» (artículo 17(3)(b)), el RGPD reconoce la posibilidad de que las organizaciones estén obligadas a conservar datos. En todo caso, deberá contar la participación de sus servicios de asesoría legal para asegurarse de que los fundamentos para la conservación son compatibles con los derechos y libertades de los interesados, sus expectativas en el momento en que los datos fueron recopilados, etc.

¿Es compatible el RGPD con el cifrado?

El cifrado se identifica en el RGPD como medida de protección que hace los datos ininteligibles cuando se ven afectados por una infracción. Por lo tanto, tanto si se usa como si no, el cifrado puede afectar a los requisitos de notificación de infracción de datos personales. El RGPD también señala el cifrado como medida técnica u organizativa apropiada en determinados casos, en función del riesgo. El cifrado es también un requisito en el Estándar de Seguridad de Datos del Sector de Tarjetas de Pago y está incluido en las estrictas directivas de cumplimiento específicas para el sector de servicios financieros. Los productos y servicios de Microsoft tales como Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, Windows 10 y Windows 11, proporcionan un potente cifrado para datos en tránsito y en reposo.

¿Cómo cambia la respuesta de una organización a las violaciones de los datos personales?

El RGPD cambiará los requisitos de protección de datos e impondrá obligaciones más estrictas a los procesadores y controladores en cuanto a la notificación de infracciones de datos personales. De conformidad con el nuevo reglamento, el procesador debe notificar al controlador de los datos sobre la violación de datos personales una vez tenga conocimiento de ello y sin demoras indebidas. Una vez que tenga conocimiento de la infracción de los datos personales, el controlador debe notificar a la autoridad de protección de datos correspondiente dentro de 72 horas. Si es probable que la infracción suponga un alto riesgo para los derechos y libertades de las personas, el controlador también deberá notificar a las personas afectadas sin demoras indebidas. El Grupo de trabajo del Artículo 29 de la UE está elaborando orientaciones adicionales sobre este tema.

Los productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 y Windows 10, tienen soluciones disponibles hoy en día para ayudarle a detectar y evaluar las amenazas e infracciones de seguridad y cumplir con las obligaciones de notificación de infracciones de la GDPR.

Recursos adicionales