Compartir a través de


Datos, privacidad y seguridad para Microsoft 365 Copilot

Microsoft 365 Copilot es un sofisticado motor de procesamiento y orquestación que proporciona funcionalidades de productividad basadas en inteligencia artificial mediante la coordinación de los siguientes componentes:

  • Modelos de lenguaje grandes (LLM)
  • Contenido de Microsoft Graph como correos electrónicos, chats y documentos a los que tiene permiso para acceder.
  • Las aplicaciones de productividad de Microsoft 365 que se usan todos los días, como Word y PowerPoint.

Para obtener información general sobre cómo funcionan conjuntamente estos tres componentes, consulte Información general de Microsoft 365 Copilot. Para obtener vínculos a otro contenido relacionado con Microsoft 365 Copilot, consulte Microsoft 365 Copilot documentación.

Importante

  • Microsoft 365 Copilot cumple con nuestros compromisos de privacidad, seguridad y cumplimiento con los clientes comerciales de Microsoft 365 que se incluyen en el Reglamento general de protección de datos (RGPD) y en Límite de datos de la Unión Europea (UE).
  • Las solicitudes, respuestas y los datos a los que se accede a través de Microsoft Graph no se usan para entrenar LLM básicos, incluidos aquellos que usa Microsoft 365 Copilot.
  • Microsoft 365 Copilot funciona con varias protecciones, entre las que se incluyen, entre otras, bloquear contenido perjudicial, detectar material protegido y bloquear inyecciones de indicación (ataques de jailbreak).

La información de este artículo está pensada para dar respuesta a las siguientes preguntas:

Nota:

Microsoft 365 Copilot seguirá evolucionando con el tiempo con nuevas funcionalidades. Para mantenerse al día sobre Microsoft 365 Copilot o formular preguntas, visite la comunidad de Microsoft 365 Copilot en la Comunidad técnica de Microsoft.

¿Cómo usa Microsoft 365 Copilot los datos privados de la organización?

Microsoft 365 Copilot proporciona valor al conectar LLM a los datos de la organización. Microsoft 365 Copilot accede al contenido y al contexto a través de Microsoft Graph. Puede generar respuestas a partir de los datos de la organización, como los documentos del usuario, correos electrónicos, calendario, chats, reuniones y contactos. Microsoft 365 Copilot combina este contenido con el contexto de trabajo del usuario, como la reunión en la que está el usuario, los intercambios de correo electrónico que el usuario ha realizado sobre un tema o las conversaciones de chat del usuario de la semana anterior. Microsoft 365 Copilot usa esta combinación de contenido y contexto para ayudar a ofrecer respuestas contextuales precisas y pertinentes.

Importante

Las solicitudes, respuestas y los datos a los que se accede a través de Microsoft Graph no se usan para entrenar LLM básicos, incluidos aquellos que usa Microsoft 365 Copilot.

Microsoft 365 Copilot solo muestra aquellos datos de la organización a los que los usuarios tienen permiso, como mínimo, de visualizar. Es importante que use los modelos de permisos disponibles en los servicios de Microsoft 365, como SharePoint, para garantizar que los usuarios o grupos adecuados tengan el acceso adecuado al contenido adecuado dentro de su organización. Esto incluye los permisos que concede a usuarios ajenos a su organización a través de soluciones de colaboración entre inquilinos, como canales compartidos en Microsoft Teams.

Cuando se escriben consultas con Microsoft 365 Copilot, la información contenida en las consultas, los datos que se recuperan y las respuestas generadas, permanecen dentro del límite de cumplimiento de Microsoft 365, de acuerdo con nuestros compromisos actuales de privacidad, seguridad y cumplimiento. Microsoft 365 Copilot usa los servicios de Azure OpenAI para el procesamiento, no los servicios disponibles públicamente de OpenAI. Azure OpenAI no almacena en caché contenido de cliente y Copilot modificó las indicaciones de Microsoft 365 Copilot. Para obtener más información, consulte la sección Datos almacenados sobre las interacciones del usuario con Microsoft 365 Copilot más adelante en este artículo.

Nota:

  • Cuando use complementos para ayudar a Microsoft 365 Copilot a proporcionar información más relevante, compruebe la declaración de privacidad y los términos de uso del complemento para determinar cómo controlará los datos de su organización. Para obtener información, consulte Extensibilidad de Microsoft 365 Copilot.
  • Cuando se usa el complemento de contenido web, Copilot para Microsoft 365 analiza el mensaje del usuario e identifica los términos en los que la búsqueda web mejoraría la calidad de la respuesta. En función de estos términos, Copilot genera una consulta de búsqueda que se envía a la API de Búsqueda de Microsoft Bing para solicitar más información. Para obtener más información, datos, privacidad y seguridad para consultas web en Microsoft 365 Copilot y Microsoft Copilot.

Aunque la supervisión del uso indebido, que incluye la revisión humana del contenido, está disponible en Azure OpenAI, los servicios de Microsoft 365 Copilot han optado por no participar en ella. Para obtener información sobre el filtrado de contenido, consulte la sección ¿Cómo bloquea Copilot contenido dañino? más adelante en este artículo.

Nota:

Es posible que usemos los comentarios de los clientes, lo cual es opcional, para mejorar Microsoft 365 Copilot, al igual que usamos los comentarios de los clientes para mejorar otros servicios de Microsoft 365 y las aplicaciones de productividad de Microsoft 365. Los comentarios no se usan para entrenar los LLM básicos que usa Microsoft 365 Copilot. Los clientes pueden administrar los comentarios a través de los controles de administración. Para obtener más información, vea Administrar los comentarios de Microsoft para su organización y Proporcionar comentarios sobre Microsoft Copilot con aplicaciones de Microsoft 365.

Datos almacenados sobre las interacciones de los usuarios con Microsoft 365 Copilot

Cuando un usuario interactúa con Microsoft 365 Copilot (usando aplicaciones como Word, PowerPoint, Excel, OneNote, Loop o Whiteboard), almacenamos datos sobre estas interacciones. Los datos almacenados incluyen la solicitud del usuario y la respuesta de Copilot, incluidas citas a cualquier información usada para establecer la respuesta de Copilot. Nos referimos al aviso del usuario y a la respuesta de Copilot a ese aviso como el "contenido de las interacciones" y el registro de esas interacciones es el historial de actividad de Copilot del usuario. Por ejemplo, estos datos almacenados proporcionan a los usuarios el historial de actividad de Copilot en Business Chat y reuniones en Microsoft Teams. Estos datos se procesan y almacenan en consonancia con los compromisos contractuales con el resto del contenido de la organización en Microsoft 365. Los datos se cifran mientras se almacenan y no se usan para entrenar modelos LLM fundacionales, incluidos los que usa Microsoft 365 Copilot.

Para ver y administrar estos datos almacenados, los administradores pueden usar la búsqueda de contenido o Microsoft Purview. Los administradores también pueden usar Microsoft Purview para establecer directivas de retención para los datos relacionados con las interacciones de chat con Copilot. Para más información, consulte los siguientes artículos:

Para los chats de Microsoft Teams con Copilot, los administradores también pueden usar las API de exportación de Microsoft Teams para ver los datos almacenados.

Eliminar el historial de interacciones de usuario con Microsoft 365 Copilot

Los usuarios pueden eliminar su historial de actividad de Copilot, que incluye sus mensajes y las respuestas que copilot devuelve, en el portal Mi cuenta. Para obtener más información, vea Eliminar el historial de actividad de Microsoft 365 Copilot.

Microsoft 365 Copilot y el límite de datos de la UE

Las llamadas de Microsoft 365 Copilot al LLM se enrutan a los centros de datos más cercanos de la región, pero también pueden llamar a otras regiones donde haya capacidad disponible durante períodos de uso elevado.

Para los usuarios de la Unión Europea (UE), tenemos medidas de seguridad adicionales para cumplir con el Límite de datos de la UE. El tráfico de la UE permanece dentro de Límite de datos de la UE, mientras que el tráfico mundial se puede enviar a la UE y a otras regiones geográficas para el procesamiento de LLM.

Microsoft 365 Copilot y la residencia de datos

Microsoft 365 Copilot cumple con los compromisos de residencia de datos, como se describe en los Términos del producto y el Anexo de protección de datos de Microsoft. Microsoft 365 Copilot se agregó como una carga de trabajo cubierta en los compromisos de residencia de datos en los Términos del producto de Microsoft el 1 de marzo de 2024.

Las ofertas de Residencia avanzada de datos (ADR) y Multi-Geo Capabilities de Microsoft incluyen compromisos de residencia de datos para clientes de Microsoft 365 Copilot a partir del 1 de marzo de 2024. Para los clientes de la UE, Microsoft 365 Copilot es un servicio de EU Data Boundary. Es posible que las consultas de los clientes fuera de la UE se procesen en EE. UU., la UE u otras regiones.

Ampliabilidad de Microsoft 365 Copilot

Aunque Microsoft 365 Copilot ya puede usar las aplicaciones y los datos dentro del ecosistema de Microsoft 365, muchas organizaciones siguen dependiendo de diversas herramientas y servicios externos para gestionar el trabajo y la colaboración. Las experiencias de Microsoft 365 Copilot pueden hacer referencia a herramientas y servicios de terceros al responder a la solicitud de un usuario mediante complementos o conectores de Microsoft Graph. Los datos de los conectores de Graph se pueden devolver en las respuestas de Microsoft 365 Copilot si el usuario tiene permiso para acceder a esa información.

Cuando se habilitan los complementos, Microsoft 365 Copilot determina si necesita usar un complemento específico para ayudar a proporcionar una respuesta relevante al usuario. Si se necesita un complemento, Microsoft 365 Copilot genera una consulta de búsqueda para enviar al complemento en nombre del usuario. La consulta se basa en el símbolo del sistema del usuario, el historial de actividad de Copilot y los datos a los que el usuario tiene acceso en Microsoft 365.

En la sección Aplicaciones integradas del Centro de administración de Microsoft 365, los administradores pueden ver los permisos y el acceso a los datos que requiere un complemento, así como los términos de uso y la declaración de privacidad del complemento. Los administradores tienen control total para seleccionar qué complementos se permiten en su organización. Un usuario solo puede acceder a los complementos que su administrador permite y que el usuario ha instalado o tiene asignados. Microsoft 365 Copilot solo usa complementos activados por el usuario.

Para más información, consulte los siguientes artículos:

¿Cómo protege Microsoft 365 Copilot los datos de la organización?

El modelo de permisos dentro del inquilino de Microsoft 365 puede ayudar a garantizar que los datos no se filtren involuntariamente entre usuarios, grupos e inquilinos. Microsoft 365 Copilot presenta solo los datos a los que cada individuo puede acceder mediante los mismos controles subyacentes para el acceso a datos usados en otros servicios de Microsoft 365. El índice semántico respeta el límite de acceso basado en la identidad del usuario para que el proceso de grounding solo tenga acceso al contenido al que el usuario actual está autorizado para acceder. Para obtener más información, consulte la Documentación del servicio y la directiva de privacidad de Microsoft.

Cuando tiene datos cifrados por Microsoft Purview Information Protection, Microsoft 365 Copilot respeta los derechos de uso concedidos al usuario. El cifrado se puede aplicar mediante etiquetas de confidencialidad o mediante permisos restringidos en aplicaciones de Microsoft 365 mediante Information Rights Management (IRM). Para obtener más información sobre el uso de Microsoft Purview con Microsoft 365 Copilot, consulte Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa.

Ya implementamos varias formas de protección para ayudar a evitar que los clientes comprometan los servicios y aplicaciones de Microsoft 365 u obtengan acceso no autorizado a otros inquilinos o al propio sistema de Microsoft 365. Aquí hay algunos ejemplos de dichas formas de protección:

  • El aislamiento lógico del contenido de cliente dentro de cada inquilino para los servicios de Microsoft 365 se logra mediante la autorización de Microsoft Entra y el control de acceso basado en roles. Para obtener más información, consulte Controles de aislamiento de Microsoft 365.

  • Microsoft usa una rigurosa seguridad física, un filtrado en segundo plano y una estrategia de cifrado de varias capas para proteger la confidencialidad y la integridad del contenido del cliente.

  • Microsoft 365 usa tecnologías del lado del servicio que cifran el contenido del cliente en reposo y en tránsito, incluidos BitLocker, el cifrado por archivo, la Seguridad de la capa de transporte (TLS) y el protocolo de seguridad de Internet (IPsec). Para obtener detalles específicos sobre el cifrado en Microsoft 365, consulte Cifrado en la nube de Microsoft.

  • Su control sobre los datos se refuerza con el compromiso de Microsoft de cumplir con las leyes de privacidad ampliamente aplicables, como el RGPD, y los estándares de privacidad, como ISO/IEC 27018, el primer código de prácticas internacionales del mundo para la privacidad en la nube.

  • Para el contenido al que se accede a través de complementos de Microsoft 365 Copilot, el cifrado puede excluir el acceso mediante programación, lo que limita el acceso del complemento al contenido. Para obtener más información, consulte Configurar los derechos de uso para Azure Information Protection.

Cumplir con los requisitos de cumplimiento normativo

A medida que evolucione la regulación en el espacio de la inteligencia artificial, Microsoft seguirá adaptándose y respondiendo para cumplir los requisitos normativos futuros.

Microsoft 365 Copilot se basa en los compromisos actuales de Microsoft con la seguridad y la privacidad de los datos en la empresa. No hay ningún cambio en estos compromisos. Microsoft 365 Copilot se integra en Microsoft 365 y cumple todos los compromisos de privacidad, seguridad y cumplimiento existentes con los clientes comerciales de Microsoft 365. Para obtener más información, consulte Cumplimiento de Microsoft.

Además de cumplir las normativas, priorizamos un diálogo abierto con nuestros clientes, asociados y autoridades normativas para comprender mejor y abordar las preocupaciones, lo que fomenta un entorno de confianza y cooperación. Reconocemos que la privacidad, la seguridad y la transparencia no son solo características, sino requisitos previos en este panorama controlado por IA en Microsoft.

Información adicional

Microsoft 365 Copilot y los controles de privacidad de las experiencias conectadas

Algunos controles de privacidad de las experiencias conectadas en Aplicaciones de Microsoft 365 pueden afectar a la disponibilidad de las características de Microsoft 365 Copilot. Esto incluye los controles de privacidad de las experiencias conectadas que analizan el contenido y el control de privacidad para experiencias conectadas opcionales. Para más información sobre estos controles de privacidad, consulte Información general sobre los controles de privacidad para las Aplicaciones de Microsoft 365 para empresas.

Control de privacidad para experiencias conectadas que analiza el contenido

Si desactiva las experiencias conectadas que analizan el contenido en los dispositivos de su organización, Microsoft 365 Copilot características no estarán disponibles para los usuarios en las siguientes aplicaciones:

  • Excel
  • OneNote
  • Outlook
  • PowerPoint
  • Word

Esto se aplica al ejecutar la versión más reciente de estas aplicaciones en dispositivos Windows, Mac, iOS o Android.

También hay un control de privacidad que desactiva todas las experiencias conectadas, incluidas las experiencias conectadas que analizan el contenido. Si usa ese control de privacidad, Microsoft 365 Copilot características no estarán disponibles en las aplicaciones ni en los dispositivos descritos anteriormente.

Control de privacidad para experiencias conectadas opcionales

Si desactiva experiencias conectadas opcionales en su organización, las características de Microsoft 365 Copilot que son experiencias conectadas opcionales no estarán disponibles para los usuarios. Por ejemplo, desactivar las experiencias conectadas opcionales podría afectar a la disponibilidad de la búsqueda web.

También hay un control de privacidad que desactiva todas las experiencias conectadas, incluidas las experiencias conectadas opcionales. Si usa ese control de privacidad, las características de Microsoft 365 Copilot que son experiencias conectadas opcionales no estarán disponibles.

Acerca del contenido que crea Microsoft 365 Copilot

No se garantiza que las respuestas que genera la inteligencia artificial generativa sean 100 % reales. Aunque seguimos mejorando las respuestas, los usuarios han de usar su sentido crítico al revisar las respuestas antes de enviarlas a otros usuarios. Las capacidades de Microsoft 365 Copilot proporcionan borradores y resúmenes útiles que ayudan a lograr más resultados y, al mismo tiempo, ofrecen la oportunidad de revisar lo que la IA ha generado en lugar de automatizar completamente estas tareas.

Seguimos mejorando los algoritmos para abordar de forma proactiva los problemas, como la desinformación y la falta de información, el bloqueo de contenido, la seguridad de los datos y la prevención de la promoción de contenido perjudicial o discriminador de acuerdo con nuestros principios de inteligencia artificial responsable.

Microsoft no reclama derechos de propiedad de los resultados del servicio. Dicho esto, no tomamos decisiones sobre si los resultados de un cliente están protegidos por derechos de autor o si dichos derechos deben aplicarse en otros usuarios. Esto se debe a que los sistemas de IA generativa pueden producir respuestas similares en función de solicitudes o consultas similares de diferentes clientes. Por lo tanto, diferentes clientes podrían tener derechos o reclamarlos sobre contenido que es igual o sustancialmente similar.

Si un tercero demanda a un cliente comercial por infracción de derechos de autor por usar Copilot de Microsoft o los resultados que genera, defenderemos al cliente y pagaremos la cantidad por fallos adversos o acuerdos que resulten de la demanda, siempre y cuando el cliente haya usado los filtros de protección y contenido que hemos integrado en nuestros productos. Para obtener más información, consulte Microsoft anuncia el nuevo compromiso sobre los derechos de autor de Copilot para los clientes.

¿Cómo bloquea Copilot el contenido perjudicial?

El servicio Azure OpenAI incluye un sistema de filtrado de contenido que funciona junto con los modelos principales. Los modelos de filtrado de contenido para las categorías Acoso e imparcialidad, Sexual, Violencia y Autoagresión se han entrenado y probado específicamente en varios idiomas. Este sistema funciona mediante la ejecución de una consulta de entrada y su respuesta a través de modelos de clasificación diseñados para identificar y bloquear la salida de contenido perjudicial.

Los daños relacionados con el acoso y la imparcialidad hacen referencia a cualquier contenido que use lenguaje peyorativo o discriminatorio basado en atributos como la raza, la etnicidad, la nacionalidad, la identidad y la expresión de género, la orientación sexual, la religión, la condición de inmigrante, el estado de incapacidad, la apariencia personal y el tamaño del cuerpo. La imparcialidad se ocupa de asegurarse de que los sistemas de IA traten a todos los grupos de personas de forma equitativa sin contribuir a las desigualdades sociales existentes. El contenido sexual implica debates sobre los órganos reproductivos humanos, las relaciones románticas entre los seres humanos, los actos representados en términos eróticos o afectivos, el embarazo, los actos sexuales físicos, incluidos los representados como un acto de violencia sexual, actos sexuales forzados, acoso, prostitución y abuso. La violencia describe el lenguaje relacionado con las acciones físicas destinadas a hacer daño físico o asesinar, incluidas las acciones, las armas y las entidades relacionadas con estas acciones. El lenguaje de autoagresión hace referencia a acciones deliberadas destinadas a dañarse a sí mismo o quitarse la vida.

Obtenga más información sobre el filtrado de contenido de Azure OpenAI.

¿Copilot proporciona detección de material protegido?

Sí, Microsoft 365 Copilot proporciona detección de materiales protegidos, que incluye texto sujeto a copyright y código sujeto a restricciones de licencia. No todas estas mitigaciones son relevantes para todos los escenarios de Microsoft 365 Copilot.

¿Bloquea Copilot las inserciones de mensajes (ataques de jailbreak)?

Los ataques de jailbreak son mensajes de usuario diseñados para provocar que el modelo de IA generativa se comporte de formas para las que no ha sido entrenado o para romper las reglas que se le han indicado que siga. Microsoft 365 Copilot está diseñado para protegerse frente a ataques por inyección de mensajes. Obtenga más información sobre los ataques de jailbreak y cómo usar Azure AI Content Safety para detectarlos.

Comprometidos con la inteligencia artificial responsable

A medida que la inteligencia artificial se prepara para transformar nuestras vidas, debemos definir colectivamente nuevas reglas, normas y prácticas para el uso y el impacto de esta tecnología. Microsoft ha estado en un recorrido por la inteligencia artificial responsable desde 2017, cuando definimos nuestros principios y enfoque para garantizar que esta tecnología se use de forma que esté controlada por principios éticos que coloquen a las personas en primer lugar.

En Microsoft, nos guían nuestros principios de inteligencia artificial, nuestro estándar de inteligencia artificial responsable y décadas de investigación sobre inteligencia artificial, grounding y el aprendizaje automático que conserva la privacidad. Un equipo multidisciplinario de investigadores, ingenieros y expertos en directivas revisa nuestros sistemas de inteligencia artificial en busca de posibles daños y mitigaciones; refina los datos de entrenamiento; filtra para limitar el contenido perjudicial y los temas confidenciales que bloquean resultados y consultas; y aplica tecnologías de Microsoft como InterpretML y Fairlearn para ayudar a detectar y corregir el sesgo de los datos. Para dejar claro cómo toma las decisiones el sistema, hay que tener en cuenta las limitaciones, el vínculo a los orígenes y pedir a los usuarios que revisen, comprueben los hechos y ajusten el contenido en función de la experiencia en la materia. Para obtener más información, consulte Gobernanza de la inteligencia artificial: un plano técnico para el futuro.

Nuestro objetivo es ayudar a nuestros clientes a usar nuestros productos de inteligencia artificial de forma responsable, compartir nuestros aprendizajes y crear asociaciones basadas en la confianza. Para estos nuevos servicios, queremos proporcionar a nuestros clientes información sobre los usos, las capacidades y las limitaciones previstas de nuestro servicio de plataforma de inteligencia artificial para que tengan los conocimientos necesarios para tomar decisiones de implementación responsables. También compartimos recursos y plantillas con los desarrolladores de las empresas y con proveedores de software independientes (ISV) para ayudarles a crear soluciones de IA eficaces, seguras y transparentes.