Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Microsoft Azure
De acordo com o GdpR (Regulamento Geral de Proteção de Dados), os controladores de dados são obrigados a preparar uma DPIA (Avaliação de Impacto de Proteção de Dados) para operações de processamento que "provavelmente resultarão em um alto risco para os direitos e liberdades das pessoas naturais". Não há nada inerente ao próprio Microsoft Azure que necessariamente exigiria a criação de uma DPIA por um controlador de dados usando-a. Em vez disso, se uma AIPD é necessária, dependerá dos detalhes e do contexto de como o controlador de dados implantará, configurará e usará o serviço de processador de dados do Microsoft Azure. Em todo caso, uma AIPD deve começar no início de um projeto e ser executada em paralelo ao processo de planejamento e desenvolvimento.
O objetivo deste documento é fornecer informações sobre o Microsoft Azure aos Controladores de Dados, para lhes ajudar a determinar se a AIPD é necessária e, se esse for o caso, a saber que detalhes devem ser incluídos.
Observação
A Microsoft não está fornecendo nenhum conselho legal neste documento. Este documento está sendo fornecido apenas para fins informativos. Aconselhamos os clientes a trabalhar com os agentes de privacidade (e/ou DPD (Diretor de Proteção de Dados) quando designados) e/ou de aconselhamento jurídico para determinar a necessidade e conteúdo de qualquer AIPD relacionada ao uso do Microsoft Azure ou de qualquer outro serviço online da Microsoft.
Parte 1: Determinar se a AIPD é necessária
O Artigo 35 da RGDP exige que um controlador de dados crie uma Avaliação de Impacto da Proteção de Dados (AIPD) "quando um tipo de tratamento, em particular utilizando novas tecnologias, e levando em conta a natureza, escopo, contexto e finalidades do tratamento, for suscetível de resultar em alto risco para os direitos e liberdades das pessoas físicas". Apresenta ainda fatores específicos que indicariam um risco tão elevado, o que é discutido na tabela a seguir: Para determinar se uma AIDP é necessária, um controlador de dados deve considerar esses fatores, juntamente com quaisquer outros fatores relevantes, considerando as implementações e usos específicos do Microsoft Azure por parte do controlador.
Alto fator de risco | Informações relevantes sobre o Microsoft Azure |
---|---|
Avaliação sistemática e completa dos aspectos pessoais relacionados a pessoas singulares, baseada no tratamento automatizado, incluindo a criação de perfis, sendo com base nela adotadas decisões que produzem efeitos legais relativamente à pessoa física ou que a afetem significativamente de forma semelhante. | Os serviços do Microsoft Azure não foram projetados para executar o processamento em quais decisões são baseadas que produzem efeitos legais ou igualmente significativos sobre indivíduos. No entanto, como o Azure é um serviço altamente personalizável, um controlador de dados poderia potencialmente configurar os serviços do Azure a serem usados para esse processamento. Os controladores devem fazer essa determinação com base no uso do Azure. |
Processamento em grande escala de categorias especiais de dados (dados pessoais revelando origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação em sindicatos e o processamento de dados genéticos, dados biométricos para identificar exclusivamente uma pessoa física, dados relativos saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular), ou de dados pessoais relativos a condenações penais e infrações. | O Microsoft Azure não foi projetado para processar categorias especiais de dados pessoais em grande escala. No entanto, um controlador de dados poderia usar o Microsoft Azure para processar as categorias especiais enumeradas de dados. O Microsoft Azure é um serviço altamente personalizável que permite que o cliente acompanhe ou processe dados pessoais, incluindo categorias especiais de dados pessoais. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e possui pouca ou nenhuma informação para esse uso. O controlador de dados é responsável por determinar os usos apropriados dos dados do controlador de dados. |
Um monitoramento sistemático de uma área de acesso público em grande escala. | O Microsoft Azure não foi projetado para realizar ou facilitar esse monitoramento em grande escala. No entanto, um controlador de dados poderia usar o Azure para processar os dados coletados por meio desse monitoramento. O Microsoft Azure é um serviço altamente personalizável que permite que o cliente acompanhe ou processe qualquer tipo de dados, incluindo dados de monitoramento. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e possui pouca ou nenhuma informação para esse uso. O controlador de dados é responsável por determinar os usos apropriados dos dados do controlador de dados. |
Parte 2: Conteúdo de uma DPIA
O artigo 35(7) do GDPR determina que uma Avaliação de Impacto de Proteção de Dados especifica as finalidades de processamento e uma descrição sistemática do processamento previsto. Uma descrição sistemática de uma DPIA abrangente pode incluir fatores como os tipos de dados processados, quanto tempo os dados são retidos, onde os dados estão localizados e transferidos e quais terceiros podem ter acesso aos dados e ter suporte por um diagrama de fluxo de dados. Além disso, a AIPD deve incluir:
- Uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação às finalidades;
- Uma avaliação dos riscos aos direitos e liberdades das pessoas naturais; E
- As medidas previstas para enfrentar os riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção de dados pessoais e demonstrar a conformidade com este Regulamento levando em conta os direitos e os interesses legítimos de entidades de dados e outras pessoas envolvidas.
A tabela a seguir contém informações sobre o Microsoft Azure relevantes para cada um desses elementos. Assim como na Parte 1, os controladores de dados devem considerar os detalhes fornecidos na tabela, juntamente com outros fatores relevantes, no contexto das implementações e usos específicos do controlador do Microsoft Azure.
Elemento de uma DPIA | Informações relevantes sobre o Microsoft Azure |
---|---|
Propósitos de processamento | Os propósitos de processamento de dados usando o Microsoft Azure são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado pelo DPA ( Product Terms and Products and Services Data Protection), a Microsoft, como processadora de dados, processa os Dados do Cliente para fornecer aos Clientes os Serviços Online de acordo com as instruções documentadas do cliente. Conforme detalhado no DPA ( Product Terms and Services Data Protection Addendum) padrão, a Microsoft também usa dados pessoais para dar suporte a um conjunto limitado de operações comerciais. A Microsoft é controladora do processamento de dados pessoais para dar suporte a essas operações de negócios específicas. Geralmente, a Microsoft agrega Dados Pessoais antes de usá-los para nossas operações comerciais, removendo a capacidade da Microsoft de identificar indivíduos específicos e usa dados pessoais no formulário menos identificável que dará suporte ao processamento necessário para operações comerciais. A Microsoft não usará os dados do cliente ou as informações derivadas deles para a criação de perfil, nem para publicidade ou fins empresariais semelhantes. Observação: o Microsoft Azure é uma plataforma de nuvem online para processamento que é composta por várias serviços online discretas, cada uma das quais tem propósitos distintos de processamento. Você pode encontrar descrições de cada oferta de serviço do Microsoft Azure aqui. O Microsoft Azure processa dados pessoais apenas para fornecer aos clientes seus serviços online incluindo fins compatíveis com o fornecimento desses serviços, como personalização, segurança, fraude e prevenção de malware, solução de problemas e aprimoramento. |
Categorias de dados pessoais processados |
Dados do cliente: todos os dados, incluindo todos os arquivos de texto, som, vídeo ou imagem e software, fornecidos à Microsoft por ou em nome de um cliente por meio do uso do serviço corporativo. Os Dados do Cliente incluem informações identificáveis (1) de usuários finais (por exemplo, nomes de usuário e informações de contato em Microsoft Entra ID) e conteúdo do cliente que um cliente carrega ou cria em serviços específicos (por exemplo, conteúdo do cliente em uma conta de Armazenamento do Azure, conteúdo do cliente de um banco de dados SQL do Azure ou uma imagem de máquina virtual do cliente no Azure Máquinas Virtuais). Dados gerados pelo serviço: esses são os dados gerados ou derivados pela Microsoft por meio da operação do serviço, como dados de uso ou desempenho. A maioria desses dados contém identificadores pseudônimos gerados pela Microsoft. Dados de Suporte: esses dados são fornecidos à Microsoft pelo Cliente ou em seu nome (ou esse Cliente autoriza a Microsoft a obtê-los de um Serviço Online) através de um compromisso com a Microsoft para obter suporte técnico para os Serviços Online. Para obter mais informações sobre os dados processados pelo Azure, consulte os Termos do Produto, incluindo o [Contrato de Processamento de Dados de Produtos e Serviços (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) e o Microsoft Trust Center. |
Retenção de dados | A Microsoft manterá e processará os Dados do Cliente durante o direito do Cliente de usar o Serviço Online e até que todos os Dados do Cliente sejam recuperados pelo Cliente ou excluídos de acordo com os termos do DPA ( Product Terms and Products and Services Data Protection). Durante o prazo de assinatura do Cliente, o Cliente terá a capacidade de acessar e extrair os Dados do Cliente armazenados em cada Serviço Online. Exceto em avaliações gratuitas e serviços do LinkedIn, a Microsoft reterá os Dados do Cliente armazenados no Serviço Online em uma conta de função limitada por 90 dias após a expiração ou o término da assinatura do Cliente, para que o Cliente possa extrair os dados. Após o período de retenção de 90 dias, a Microsoft desabilitará a conta do Cliente e excluirá os Dados do Cliente. O cliente pode excluir dados pessoais de uma Solicitação do Titular dos Dados usando os recursos descritos na Documentação RGPD da Solicitação do Titular dos Dados. |
Localização e transferências de dados pessoais | Os clientes têm a capacidade de provisionar dados do cliente em repouso dentro de regiões geográficas especificadas, sujeitos a determinadas exceções conforme estabelecido nos Termos do Produto e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (DPA). Detalhes adicionais sobre implantações de serviço e residência de dados também podem ser encontrados no DPA (Microsoft Data Protection Addendum) para os Termos do Produto e na página da Web da Infraestrutura Global do Azure . Para dados pessoais transferidos da Área Econômica Europeia, Suíça e Reino Unido, a Microsoft garantirá que as transferências de Dados Pessoais para um país terceiro ou uma organização internacional estejam sujeitas a salvaguardas apropriadas, conforme descrito no artigo 46º GDPR. Além dos compromissos da Microsoft sob as Cláusulas Contratuais Padrão para processadores e outros contratos de modelo, a Microsoft respeita os termos do Data Privacy Framework. |
Compartilhamento de dados com subprocessadores de terceiros | A Microsoft compartilha dados com terceiros que atuam como nossos subprocessadores (conforme definido no GDPR) para dar suporte a funções como suporte técnico e cliente, manutenção de serviço e outras operações. Todos os subprocessadores para os quais a Microsoft transfere dados do cliente, dados de suporte ou dados pessoais terão firmado contratos escritos com a Microsoft que não são menos protetores do que o Adendo de Proteção de Dados de Produtos e Serviços da Microsoft. Todos os subprocessadores de terceiros com os quais os Dados do Cliente dos Principais Serviços Online da Microsoft são compartilhados estão incluídos na lista Subprocessador de Serviços Online. Todos os subprocessadores de terceiros que podem acessar dados de suporte (incluindo dados de cliente que os clientes optam por compartilhar durante suas interações de suporte) estão incluídos na Lista de Subprocessadores de Serviços Online. |
Direitos das entidades de dados | Ao operar como um processador, a Microsoft disponibiliza aos clientes (também conhecido como controlador de dados) os dados pessoais dos seus titulares dos dados e a capacidade de preencher as solicitações dos titulares dos dados quando eles exercitam suas permissões sob o GDPR. A Microsoft faz isso de maneira consistente com a funcionalidade do produto e seu papel como processador de dados. Se a Microsoft receber uma solicitação dos titulares de dados do cliente para exercer um ou mais de seus direitos sob o RGPD, a solicitação será redirecionada para o controlador de dados. O Guia de Solicitações do Titular de Dados do Azure fornece uma descrição ao controlador de dados sobre como dar suporte aos direitos do titular de dados usando os recursos do Azure. Solicitações de um titular de dados para exercer direitos no GDPR para dados pessoais processados para dar suporte aos processos comerciais legítimos devem ser direcionadas à Microsoft, conforme esclarecido na Instrução de Privacidade da Microsoft. A Microsoft geralmente agrega o pessoal antes de usá-lo para nossas operações comerciais e não está em posição de identificar dados pessoais de um indivíduo específico no agregado. Essa ação reduz o risco de privacidade para o indivíduo. Na situação em que a Microsoft não está em posição de identificar o indivíduo, não pode oferecer suporte aos direitos do titular dos dados para acesso, eliminação, portabilidade ou restrição ou objeção de processamento. A Documentação de RGPD da Solicitação do Titular de Dados do Azure fornece uma descrição de como oferecer suporte aos direitos do titular dos dados usando os recursos do Azure. |
Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Essa avaliação dependerá das necessidades e propósitos de processamento do controlador de dados. A Microsoft adota medidas como a agregação de dados pessoais usados pela Microsoft para dar suporte a operações comerciais para dar suporte à prestação dos serviços, minimizando o risco desse processamento para os usuários de dados que usam o serviço. No que se refere ao processamento realizado pela Microsoft, esse processamento é necessário e proporcional à prestação dos serviços ao controlador de dados. |
Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos aos direitos e liberdades dos titulares de dados do uso do Microsoft Azure dependerão de como e em que contexto o controlador de dados implementa, configura e usa o Microsoft Azure. A Microsoft adota medidas como a agregação de dados pessoais usados pela Microsoft para dar suporte a operações comerciais para dar suporte à prestação dos serviços, minimizando o risco desse processamento para os usuários de dados que usam o serviço. No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. Medidas que a Microsoft adota para resolver tais riscos são discutidas nos Termos do Produto, conforme detalhado posteriormente neste artigo. |
Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos | A Microsoft está comprometida em ajudar a proteger a segurança dos Dados do Cliente. As medidas de segurança que a Microsoft adota são descritas detalhadamente nos Termos do Produto. A Microsoft cumpre os rígidos padrões de segurança e a metodologia de proteção de dados líder do setor. A Microsoft está melhorando continuamente seus sistemas para lidar com novas ameaças. Mais informações sobre as práticas de privacidade e governança de nuvem estão disponíveis na página Gerenciando a conformidade do Trust Center na nuvem . A Microsoft toma medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processa. Essas medidas incluem, mas não se limitam a, políticas e práticas de privacidade interna, compromissos contratuais e certificações padrão internacionais e regionais. Mais informações estão disponíveis na página Privacidade do Trust Center. A Microsoft fornece materiais de segurança e privacidade significativos e transparentes voltados para o cliente para ajudar a explicar o uso e o processamento de dados pessoais da Microsoft. Os clientes são incentivados a entrar em contato com a Microsoft com suas perguntas. Além disso, quando a Microsoft atua como um processador de dados, ele cumpre as disposições aplicáveis do GDPR que se aplicam aos processadores de dados. Em que a Microsoft processa dados pessoais para suas operações comerciais, ele cumpre as obrigações do GDPR que se aplicam aos controladores de dados. |