Notificação de falha de RGPD

  • Artigo

O Regulamento Geral de Proteção de Dados (RGPD) introduz novas regras a organizações que ofereçam bens e serviços a pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes na UE. independentemente de onde você ou sua empresa estejam localizados. É possível encontrar mais informações no tópico Resumo do RGDP. Neste documento, você poderá obter informações sobre como concluir as notificações de violação no RGPD, usando produtos e serviços da Microsoft.

O que constitui uma violação de dados pessoais no âmbito do RGPD?

Dados pessoais significam quaisquer informações relacionadas a um indivíduo que possam ser usadas para identificá-los direta ou indiretamente. Uma violação de dados pessoais é “uma violação de segurança que resulta em destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados”.

Terminologia

Definições úteis para os termos do RGPD usados neste documento:

  • Controlador de Dados (Controlador): uma pessoa jurídica, uma autoridade pública, uma agência ou outro corpo que, isoladamente ou em conjunto com outras pessoas, determina a finalidade e o meio de processamento de dados pessoais.
  • Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.
  • Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.
  • Dados do Cliente: dados produzidos e armazenados nas operações do dia a dia para o trabalho em andamento.

Notificação de violação e da Microsoft

A Microsoft leva a sério as suas obrigações de acordo com o RGPD (Regulamento Geral de Proteção de Dados). Uma violação de dados/incidente de segurança refere-se a eventos como acesso ilícito aos dados do cliente armazenados em equipamentos da Microsoft ou em instalações da Microsoft, ou acesso não autorizado a tal que tem o potencial de resultar na perda, revelação ou alteração dos dados do cliente.

Como um processador de dados, a Microsoft garante que os clientes do serviço possam atender aos requisitos de notificação de violação do RGPD como controladores de dados. Nossa notificação fornece as informações necessárias para a avaliação. A Microsoft informa aos clientes sobre qualquer falha de dados pessoais, exceto para os casos em que os dados pessoais sejam confirmados como ininteligíveis (por exemplo, dados criptografados com criptografia de integridade de teclas).

Os controladores de dados são responsáveis por avaliar os riscos à privacidade de dados e determinar se uma violação exige uma notificação de DPA do cliente. A Microsoft fornece as informações necessárias, juntamente com sua política de conformidade do RGPD, para fazer essa avaliação.

A notificação inicial inclui uma descrição da natureza da violação, o impacto aproximado do usuário e as etapas de mitigação (se aplicável). Caso a investigação não seja concluída no momento da notificação inicial, vamos indicar as próximas etapas e linhas do tempo para comunicações subsequentes. Para obter mais informações sobre como a Microsoft detecta e responde a uma violação de dados pessoais, confira Notificação de violação de dados no RGPD no Portal de Confiança do Serviço.

Os detalhes relacionados a notificações de violação para produtos e serviços específicos da Microsoft são fornecidos a seguir.

  1. Office 365

    A Microsoft investe fortemente em sistemas, processos e equipes para reduzir a probabilidade de violação de dados pessoais e para rapidamente detectar e reduzir a consequência da violação, caso ocorra. Mais detalhes podem ser lidos em Investimentos do Office 365 na segurança de dados.

    Um cliente pode ficar atento a uma violação e entrar em contato com a Microsoft. Nesse caso, notifique o Suporte da Microsoft, que criará uma interface com as equipes de engenharia para obter mais informações.

  2. Azure e Dynamics 365

    A Microsoft tem um serviço global de respostas 24 horas por dia, que funciona para reduzir os efeitos de ataques no Microsoft Azure e no Dynamics 365.

    • Detecção de Violações: Como a Microsoft e o cliente têm obrigações de segurança, os serviços do Azure usam um modelo de responsabilidade compartilhada para definir responsabilidades de segurança e operacionais. A Microsoft não monitora ou responde a incidentes de segurança no domínio de responsabilidade do cliente. A resposta a incidentes de clientes pode envolver a colaboração com o suporte ao cliente do Azure, dados os contratos de serviço apropriados. O Microsoft Azure também oferece vários serviços (por exemplo, Microsoft Defender para Nuvem) que os clientes podem utilizar para desenvolver e gerenciar a resposta a incidentes de segurança.

      Para obter uma lista de eventos que disparam uma investigação de violação no Microsoft Azure, confira Detecção de possíveis violações. O Azure e a Notificação de Violação no âmbito do RGPD fornecem detalhes adicionais sobre como a Microsoft investiga, gerencia e responde a incidentes de segurança no Azure.

    • Resposta à Violação de Dados: a Microsoft determina a prioridade adequada e os níveis de gravidade de uma violação analisando o impacto funcional, a capacidade de recuperação e o impacto das informações do incidente. A prioridade e a severidade podem mudar durante a investigação, com base nas novas descobertas e conclusões. A equipe de resposta de segurança da Microsoft trabalha em conjunto com consultores jurídicos globais para ajudar a garantir que as perícias sejam realizadas de acordo com obrigações legais e compromissos com os clientes. Esses processos estão detalhados na Resposta À Violação de Dados no Azure.

    • Notificação de Cliente: o Microsoft Azure notifica os clientes e as autoridades normativas das violações de dados conforme necessário. As notificações dos clientes são oferecidas em não mais de 72 horas a partir do prazo, com exceção das seguintes circunstâncias:

      • A Microsoft acredita que o ato de executar uma notificação aumentará o risco para outros clientes.
      • O cronograma de 72 horas pode deixar alguns detalhes do incidente disponíveis. Estes detalhes serão fornecidos para você à medida que a investigação prosseguir.

      Mais detalhes podem ser encontrados na Notificação do Cliente.

  3. Suporte e Serviços Profissionais da Microsoft
    A natureza dos serviços profissionais significa que alguns incidentes de proteção de dados podem se enquadrar no domínio de responsabilidade do cliente. Quando o Microsoft Professional Services identifica um incidente de proteção de dados, ele acompanha o plano de resposta padrão do setor, conforme descrito em Escopo e limites do processo de resposta a incidentes de proteção de dados.

  4. Windows

    A configuração do processador de dados de diagnóstico do Windows aproveita a infraestrutura do serviço de nuvem e os recursos de segurança internos para manter os dados seguros. A Microsoft tem um serviço global de resposta a incidentes 24x7 que funciona para mitigar os efeitos dos ataques contra a configuração do processador de dados de diagnóstico do Microsoft Azure e do Windows.

Ferramentas administrativas de notificação de violação

  • Defina o contato de privacidade da sua organização: os administradores de locatários podem usar o centro de administração Microsoft Entra para definir o contato de privacidade da sua organização caso a Microsoft precise se comunicar com eles.

Saiba mais