Plan de acción de RGPD de Microsoft 365: principales prioridades de los primeros 30 días, 90 días y el periodo posterior
En este artículo se incluye un plan de acción prioritario que puede seguir a medida que trabaja para cumplir los requisitos del Reglamento general de protección de datos (RGPD). Este plan de acción se desarrolló en asociación con Protiviti, un asociado de Microsoft especializado en cumplimiento normativo.
El RGPD introdujo nuevas reglas para empresas, agencias gubernamentales, organizaciones sin fines de lucro y otras organizaciones que ofrecen bienes y servicios a personas de la Unión Europea (UE), o que recopilan y analizan datos para residentes de la UE. El RGPD se aplica independientemente de dónde se encuentre usted o su empresa.
Resultados del plan de acción
Estas recomendaciones se proporcionan en tres fases en un orden lógico con los siguientes resultados:
Fase | Resultados |
---|---|
30 días |
Comprender los requisitos del RGPD y considerar colaborar con un Partner asesor de RGPD de Microsoft. * Evalúe su preparación y obtenga recomendaciones para los pasos siguientes. * Trabaje con un Partner asesor de RGPD de Microsoft para establecer directrices internas para responder a las solicitudes de asunto de datos (valoración detallada), realizar un análisis de faltas de cumplimiento del RGPD para su organización y establecer una guía de cumplimiento. Empezar a descubrir los tipos de datos personales que almacena y dónde se encuentran para cumplir con la valoración detallada. * Use la Búsqueda de contenido y eDiscovery en los centros de seguridad y cumplimiento para descubrir datos personales en toda la organización. * Cuando trabaje con grandes cantidades de contenido, use Microsoft Purview eDiscovery (Premium), con tecnología de aprendizaje automático, para realizar búsquedas de contenido más eficientes y precisas. |
90 días |
Iniciar la implementación de requisitos de cumplimiento mediante las funciones de cumplimiento y de gobierno de datos de Microsoft 365. * Evalúe y administre los riesgos de cumplimiento mediante el Administrador de cumplimiento de Microsoft Purview. * Ayude a los usuarios a identificar y clasificar datos personales, tal como los define el RGPD. Usar las funciones de seguridad de Microsoft 365 para evitar infracciones de datos e implementar la protección de datos personales. * Proteja las cuentas de usuario final y de administrador. * Protéjase contra código malicioso e implemente prevención y respuestas contra infracciones de datos. * Use el registro de auditoría para supervisar en busca de actividad potencialmente malintencionada y habilitar el análisis detallado de infracciones de datos. * Use directivas de prevención de pérdida de datos (DLP) para identificar y proteger datos confidenciales. * Evite los ataques más comunes como correos electrónicos de suplantación de identidad y documentos de Office que contienen vínculos malintencionados y datos adjuntos. |
Más allá de 90 días |
Usar la protección de información y las herramientas de Gobierno de datos avanzado de Microsoft 365 para implementar programas de gobierno continuos para datos personales. * Identifique automáticamente la información personal en los correos electrónicos y documentos * Proteja los datos personales almacenados en dispositivos en toda la organización y asegúrese de que se usan dispositivos de empresa compatibles para acceder a los datos confidenciales. * Asegúrese de que se almacena y se accede a la información personal confidencial según las directivas corporativas. * Implemente directivas de retención de datos para ayudar a garantizar que solo retendrá datos personales durante el tiempo necesario. Supervisar el cumplimiento continuo en Microsoft 365 y otras aplicaciones de la nube. Considere la posibilidad de abordar los requisitos de residencia de datos para los datos personales de la UE. * Supervise el uso de aplicaciones en la nube de su organización e implemente directivas de alertas avanzadas. * Cumpla los requisitos de residencia de datos como una sola organización global. |
30 días: potentes victorias rápidas
Estas tareas son rápidas y eficaces con un impacto mínimo en los usuarios.
Área | Tareas |
---|---|
Comprender los requisitos del RGPD y considerar colaborar con un Partner asesor de RGPD de Microsoft. | * Evalúe y administre sus riesgos de cumplimiento mediante el administrador de cumplimiento de Microsoft Purview en la portal de cumplimiento Microsoft Purview para llevar a cabo una evaluación del RGPD de su organización. * Colabore con su Partner asesor de RGPD de Microsoft para establecer directrices internas y responder a solicitudes del interesado (DSR) y exclusiones de DSR. * Colabore con su partner asesor de RGPD de Microsoft para realizar un análisis de brechas de cumplimiento de RGPD para su organización y crear un plan de desarrollo que trace el camino hacia el cumplimiento del RGPD. * Obtenga información sobre cómo usar el panel del RGPD y la funcionalidad de solicitud del interesado en el portal de cumplimiento Microsoft Purview. |
Empezar a descubrir los tipos de datos personales que almacena y dónde se encuentran para cumplir con la valoración detallada. | * Use casos de búsqueda de contenido y exhibición de documentos electrónicos (Standard) para buscar fácilmente entre buzones, carpetas públicas, Grupos de Microsoft 365, Microsoft Teams, sitios de SharePoint, sitios de One Drive para empresas y conversaciones Skype Empresarial. Aprenda a usar tipos de información confidencial para buscar datos personales de ciudadanos de la UE. * Cuando trabaje con grandes cantidades de contenido, identifique documentos que sean relevantes para un sujeto determinado (por ejemplo, una investigación de cumplimiento) rápidamente y con mejor precisión que las búsquedas de palabras clave tradicionales con Microsoft Purview eDiscovery (Premium) con tecnologías de aprendizaje automático. * Vista previa de los resultados de la búsqueda, obtener estadísticas de palabras clave para una o varias búsquedas, editar en bloque las búsquedas de contenido y exportar los resultados mediante el Centro de cumplimiento de seguridad &. |
90 días: Cumplimiento mejorado
Estas tareas tardan un poco más en planearse e implementarse, pero pueden aumentar los esfuerzos generales de cumplimiento del RGPD.
Área | Tareas |
---|---|
Iniciar la implementación de requisitos de cumplimiento mediante las funciones de cumplimiento y de gobierno de datos de Microsoft 365. | * Administre el cumplimiento del RGPD con Microsoft Purview Compliance Manager dentro de la portal de cumplimiento Microsoft Purview. * Ayudar a los usuarios a identificar y clasificar los datos personales, tal como lo define el RGPD, con un esquema de clasificación y etiquetas de Office 365 asociadas para correo electrónico de Exchange, sitios de SharePoint, OneDrive para sitios profesionales y educativos y Grupos de Microsoft 365. Consulte Implementación de la protección de la información para las regulaciones de privacidad de datos con Microsoft 365. |
Usar las funciones de seguridad de Microsoft 365 para evitar infracciones de datos e implementar la protección de datos personales. | * Mejore la autenticación para administradores y usuarios finales en Microsoft Cloud al permitir la autenticación multifactor para todas las cuentas de usuario y la autenticación moderna para todas las aplicaciones. Obtenga mas información sobre la configuración de políticas recomendada, veaConfiguraciones de acceso a dispositivos e identidades. * Implemente la Protección contra amenazas avanzada de Microsoft Defender en todos los dispositivos de escritorio para protegerlos contra código malicioso, así como prevenir y responder contra vulneraciones de datos. * Habilite el registro de auditoría y la auditoría de buzón, para todos los buzones de Exchange con el fin de supervisar en busca de actividad potencialmente malintencionada y para habilitar el análisis detallado de vulneraciones de datos. * Configure, pruebe e implemente directivas de prevención de pérdida de datos (DLP) para identificar, monitorizar y proteger automáticamente más de 80 tipos de información confidencial más comunes en documentos y correos electrónicos, como datos financieros, médicos o personales. * Implemente lassoluciones de seguridad de Office 365 para ayudar a evitar los ataques más comunes como correos electrónicos que suplantan otras identidades y documentos de Office que contienen vínculos y datos adjuntos malintencionados. |
Más de 90 días: Privacidad continua, gobierno de datos y creación de informes
Estas configuraciones son medidas de privacidad importantes que se basan en el trabajo anterior.
Área | Tareas |
---|---|
Usar la protección de información y las herramientas de Gobierno de datos avanzado de Microsoft 365 para implementar programas de gobierno continuos para datos personales. | * Use las etiquetas de confidencialidad para identificar información personal en documentos y correos electrónicos. * Proteja los datos personales almacenados en los dispositivos en toda la organización mediante la implementación de Microsoft Intune. * Implemente las directivas de acceso condicional de AAD con Microsoft Intune para garantizar que la información personal confidencial se almacene y se acceda a ella de acuerdo con las directivas corporativas. Obtenga más información sobre la configuración de directiva recomendada en Configuración del acceso de dispositivos e identidades. * Implemente directivas de retención de datos con etiquetas de confidencialidad, Administración del ciclo de vida de Microsoft Purview y directivas de retención para conservar los datos personales durante el tiempo necesario en su jurisdicción. |
Supervisar el cumplimiento continuo en Microsoft 365 y otras aplicaciones de la nube. Considere la posibilidad de abordar los requisitos de residencia de datos para los datos personales de la UE. |