Compartir a través de


Respuesta a las solicitudes de derechos de los interesados (DSR) para Microsoft Dynamics 365 Project Operations

La guía proporciona recursos cómo utilizar los productos, los servicios y las herramientas administrativas de Microsoft para ayudar a nuestros clientes poseedores de los datos a buscar datos personales y actuar en ellos para responder a las solicitudes de Derechos de los Interesados (DSR) para Microsoft Dynamics 365 Project Operations. En concreto, la información incluye cómo buscar, acceder y actuar en los datos personales o información personal que residen en la nube de Microsoft Cloud. Esta guía le ayudará con el siguiente proceso:

  • Descubrir: use las herramientas de búsqueda y detección para buscar más fácilmente datos de clientes que puedan ser objeto de una solicitud de DSR. Una vez que se recopilen documentos potencialmente sensibles, puede realizar una o varias de las acciones de derechos de titulares de datos (DSR) que se describen en los pasos siguientes para responder a la solicitud. También puede determinar que la solicitud no cumple las directrices de la organización para responder a las solicitudes de DSR.
  • Acceder: recupere los datos personales que se encuentran en Microsoft Cloud y, si se solicita, realice una copia de los datos disponibles para el interesado.
  • Rectificar: realice cambios o implemente otras acciones solicitadas en los datos personales, donde corresponda.
  • Restringir: limite el tratamiento de los datos personales, ya sea quitando licencias para varios servicios en línea o desactivando los servicios deseados siempre que sea posible.
  • Eliminar: quite de manera permanente la información personal que se encuentra en Microsoft Cloud.
  • Exportar/Recibir (Portabilidad): proporcione una copia electrónica (con una forma de lectura mecánica) de los datos personales o información personal al interesado.

Esta guía describe los procedimientos técnicos que puede llevar a cabo una organización poseedora de los datos para responder a una solicitud de DSR sobre datos personales en Microsoft Cloud.

Para obtener más información sobre los derechos de los interesados, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), consulte la Ley de Privacidad del Consumidor de California.

Cómo esta guía puede ayudarlo a cumplir las responsabilidades de su controlador

La guía, dividida en dos partes, describe cómo usar los productos, servicios y herramientas administrativas de Microsoft para ayudarlo a encontrar y actuar sobre los datos en Microsoft Cloud en respuesta a las solicitudes de los titulares de los datos que están ejerciendo sus derechos bajo el RGPD. La primera parte aborda los datos personales que se incluyen en los datos del cliente. Le sigue una parte que aborda otros datos personales seudonimizados capturados en registros generados por el sistema.

  • Parte 1: responder a las solicitudes de datos personales de DSR incluidos en los datos del cliente:La Parte 1 de esta guía explica cómo acceder, rectificar, restringir, eliminar y exportar datos personales de Dynamics 365 Project Operations (software como servicio), que se procesan como parte de los datos del cliente que ha proporcionado al servicio en línea.
  • Parte 2: Respuesta a solicitudes de derechos del titular de los datos para datos seudonimizados: Cuando utiliza Dynamics 365 Project Operations, Microsoft genera cierta información (a la que se hace referencia en este documento como registros generados por el sistema) para proporcionar el servicio. Esta información se limita a la huella de uso dejada por los usuarios finales para identificar sus acciones en el sistema. Aunque estos datos no pueden atribuirse a un titular de datos específico sin el uso de información adicional, algunos de ellos pueden considerarse personales bajo el RGPD. La Parte 2 de esta guía explica cómo acceder, eliminar y exportar registros generados por el sistema producidos por Dynamics 365 Project Operations.

Prepararse para investigaciones de derechos de los titulares de los datos

Cuando los interesados ejercen sus derechos y realizan solicitudes, tenga en cuenta los siguientes puntos:

  • Identifique adecuadamente a la persona y el rol (como empleado, cliente o proveedor) utilizando la información que el titular de datos le proporcionó como parte de su solicitud. Esta información puede ser un nombre, un identificador de empleado o un número de cliente u otro identificador.
  • Registre la fecha y la hora de la solicitud. (Tiene 30 días para completar la solicitud.)
  • Confirme que la solicitud cumple los requisitos de su organización para cumplir o rechazar la solicitud de un titular de datos. Por ejemplo, debe asegurarse de que la ejecución de la solicitud no entra en conflicto con ninguna otra obligación legal, financiera o reglamentaria que tenga ni que infrinja los derechos y libertades de los demás.
  • Compruebe que tenga la información relacionada con la solicitud.

Parte 1: Guía de solicitudes de derechos del titular de los datos para datos de clientes

Ejecución de DSR contra datos de clientes

Microsoft proporciona la capacidad de acceder, eliminar y exportar determinados datos de clientes a través del portal de Azure y también directamente a través de interfaces de programación de aplicaciones (APIs) o interfaces de usuario (UIs) preexistentes para servicios específicos (también denominadas experiencias en el producto). En esta guía se describen los detalles sobre estas experiencias Dynamics 365 Project Operations en el producto.

Nota

Dynamics 365 Project Operations tiene varios tipos de implementación que pueden implicar el uso de Dataverse, la arquitectura de finanzas y operaciones, o ambos. Según el tipo de implementación, el proceso de solicitud de DSR puede variar.

Detectar

El primer paso a la hora de responder a una solicitud del interesado (DSR) es encontrar la información personal a la que se refiere la solicitud. Este primer paso buscar y revisar los datos personales en cuestión ayudará a determinear si una solicitud de DSR cumple los requisitos de la organización para aceptar o rechazar solicitudes de DSR. Por ejemplo, después de buscar y revisar la información personal en cuestión, puede determinar que la solicitud no cumple los requisitos de su organización porque puede afectar negativamente a los derechos y libertades de otros.

Después de que encuentre los datos, puede realizar la acción específica para atender la solicitud del interesado.

Dataverse proporciona varios métodos para buscar datos personales dentro de los registros, como la Búsqueda Avanzada y la búsqueda de registros. Todas estas funciones le permiten identificar (buscar) datos personales.

La arquitectura de finanzas y operaciones ofrece varias formas de buscar datos de clientes. Como administrador de inquilinos, puede realizar las siguientes acciones para buscar datos de clientes:

  • Organice los datos de sus clientes de una manera que sirva para descubrir rápidamente los datos personales. Consulte cómo clasificar el inventario de datos para este propósito.
  • Utilice el Informe de búsqueda de personas para buscar y recopilar datos personales. Amplíe el informe de búsqueda de Personas mediante la creación de una nueva entidad o la ampliación de una entidad existente.
  • Utilice las características de búsqueda y filtro para encontrar datos personales específicos y exporte esos datos mediante la funcionalidad Exportar de Microsoft Office, o imprima esa información en un PDF mediante extensiones del navegador.
  • Cree un formulario personalizado que busque y exporte datos personales.
  • Cree un portal o sitio web externo que permita a un cliente autenticado ver sus datos personales.

Acceso

Una vez que haya encontrado los datos de clientes que contienen datos personales que pueden responder a una solicitud de derechos de titulares de datos, depende de usted y de su organización decidir qué datos proporcionar al titular de los datos. Puede proporcionarles una copia del documento real, una versión debidamente redactada o una captura de pantalla de las partes que haya considerado apropiado compartir. Para cada una de estas respuestas a una solicitud de acceso, tendrá que recuperar una copia del documento u otro elemento que contenga los datos pertinentes a la solicitud. Al proporcionar una copia al titular de los datos, es posible que deba eliminar o ocultar la información personal de otros titulares de los datos y cualquier información confidencial.

Los datos de clientes que se encuentran dentro de Dataverse pueden exportarse utilizando las capacidades integrales de exportación de entidades. Los datos de cliente se pueden exportar a un archivo Excel estático para facilitar una solicitud de portabilidad de datos. Mediante el uso de Excel, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardarlos en un formato legible por máquina de uso común, como .csv o .xml. Los registros también se pueden exportar a través de la API web de Microsoft Dataverse.

Los datos de clientes en la arquitectura de finanzas y operaciones se pueden exportar utilizando las capacidades integrales de exportación de entidades. Las entidades de integración y administración de datos permiten al administrador de inquilinos usar las entidades proporcionadas, crear nuevas entidades o ampliar las existentes para una exportación de datos repetible a Excel o a otros formatos comunes a través de trabajos de importación y exportación de datos. De forma alternativa, muchas listas se pueden exportar a un archivo Excel estático para facilitar una solicitud de portabilidad de datos. Cuando los datos de clientes se exportan a Excel, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardar el archivo en un formato legible por máquina de uso común, como .csv o .xml. También puede considerar la posibilidad de usar el Informe de búsqueda de persona para proporcionar al titular de los datos los datos que ha clasificado como datos personales.

Rectificar

Si el interesado le ha pedido que rectifique los datos personales que residen en los datos de su organización, usted y su organización tendrán que determinar si es apropiado cumplir con la solicitud. La rectificación de los datos puede incluir la realización de acciones tales como la edición, redacción o eliminación de datos personales de un documento u otro tipo o elemento.

Dataverse le proporciona los siguientes métodos para corregir datos de clientes inexactos o incompletos, o para borrar datos de clientes:

  • Busque datos de clientes utilizando las capacidades mencionadas en la sección "Descubrir" y edite directamente los datos dentro de Dataverse. Las ediciones se pueden realizar en un solo nivel de fila o se pueden modificar varias filas directamente.
  • Mediante la edición masiva de varios registros, puede usar el complemento de Microsoft Office para exportar datos a Excel, realizar los cambios y, a continuación, importar los datos modificados de Excel a Dataverse.

En la arquitectura de finanzas y operaciones, también puede utilizar herramientas de personalización, pero la decisión y la implementación son su responsabilidad.

Breve nota sobre la modificación de entradas en transacciones comerciales

Los registros transaccionales, como las entradas generales, de clientes y de impuestos, son esenciales para la integridad de un sistema de planificación de recursos empresariales (ERP). Los datos personales que forman parte de una transacción financiera o de otro tipo se conservan "tal cual" para el cumplimiento de las leyes financieras (por ejemplo, las leyes fiscales), la prevención del fraude (como la pista de auditoría de seguridad) o el cumplimiento de las certificaciones del sector. Por lo tanto, Dynamics 365 Project Operations restringe la modificación de datos en dichos registros.

Restringida

Los interesados pueden solicitarle que limite el procesamiento de sus datos personales.

Cuando recibe una solicitud de un titular de datos para restringir el procesamiento de los datos del cliente, puede extraer fácilmente los datos del cliente afectados del servicio en línea y almacenarlos en un contenedor independiente (almacenamiento local o un servicio web independiente con capacidades de aislamiento de datos) que está aislado de las funciones de procesamiento que ofrece cualquier aplicación en la nube.

Delete

El "derecho al olvido" mediante la eliminación de los datos personales de los datos de cliente de una organización es una de las principales protecciones contempladas en el RGPD. La eliminación de datos personales incluye los registros generados por el sistema, pero no la información del registro de auditoría.

Cuando un interesado pide que se eliminen sus datos de cliente, hay varias formas para hacerlo:

  • Al editar de forma masiva varios registros en Dataverse, puede usar el complemento de Microsoft Office para exportar datos a Excel, realizar los cambios y, a continuación, importar los datos modificados de Excel de nuevo al servicio en línea.
  • Puede eliminar los datos de clientes almacenados en cualquier campo localizando los datos que desea eliminar y, a continuación, eliminando manualmente el elemento de datos que contiene los datos del cliente objetivo. Por ejemplo, puede emplear una eliminación permanente en el registro de contacto que representa al titular de los datos y otros registros que contengan datos personales.

Como alternativa, en la arquitectura de finanzas y operaciones del sistema, puede utilizar herramientas de personalización para borrar o modificar los datos de los clientes.

Debe ser administrador del inquilino para eliminar un usuario del mismo.

Export

El "derecho de portabilidad" de datos permite que un titular de los datos solicite una copia de sus datos personales en formato electrónico (es decir, en un "formato estructurado, de uso frecuente, legible por máquinas e interoperable") que se pueda transmitir a otro controlador de datos.

Para responder a una solicitud de portabilidad de datos, los datos del cliente en Dataverse pueden exportar mediante las capacidades integrales de exportación de entidades. Los datos de cliente se pueden exportar a un archivo Excel estático para facilitar una solicitud de portabilidad de datos. Mediante el uso de Excel, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardarlos en un formato legible por máquina de uso común, como .csv o .xml.

La arquitectura de finanzas y operaciones ofrece Entidades de integración y administración de datos permiten al administrador de inquilinos usar las entidades proporcionadas, crear nuevas entidades o ampliar las existentes para una exportación de datos repetible a Excel o a otros formatos comunes a través de trabajos de importación y exportación de datos. De forma alternativa, muchas listas se pueden exportar a un archivo Excel estático para facilitar una solicitud de portabilidad de datos. Cuando los datos de clientes se exportan a Excel de esta manera, puede editar los datos personales que se incluirán en la solicitud de portabilidad y guardar el archivo en un formato legible por máquina de uso común, como .csv o .xml.

El informe de búsqueda de personas se puede utilizar para proporcionar al titular de los datos los datos que ha clasificado como datos personales.

Debe ser administrador del inquilino para exportar datos de usuarios del mismo.

Parte 2: Registros generados por el sistema

Microsoft también le brinda la capacidad de acceder, exportar y eliminar registros generados por el sistema que podrían considerarse personales según la amplia definición de "datos personales" del RGPD. Algunos ejemplos de registros generados por el sistema que podrían considerarse personales en virtud del RGPD son:

  • Datos de uso de productos y servicios, como registros de actividad del usuario
  • Solicitudes búsqueda y datos de consultas del usuario
  • Datos generado por productos y servicios como un producto de la funcionalidad y la interacción del sistema por usuarios u otros sistemas

Importante

No se admite la capacidad para limitar o rectificar datos en registros generados por el sistema. Los datos de registros generados por el sistema constituyen acciones factuales realizadas en Microsoft Cloud, y los datos de diagnóstico y modificaciones de tales datos pondría en riesgo el registro histórico de acciones e incrementaría los riesgos de fraude y seguridad.

Ejecución de DSR en registros generados por el sistema