Avaliações de Impacto da Proteção de Dados: Orientações para Controladores de Dados com o Microsoft Dynamics 365 e o Power Platform
O Regulamento Geral sobre a Proteção de Dados (GDPR) exige que os controladores preparem uma Avaliação de Impacto de Proteção de Dados (DPIA) para operações que 'provavelmente resultariam em alto risco para os direitos e a liberdade de pessoas físicas'. Não existe nada inerente ao Dynamics 365 e ao Power Platform que exija necessariamente a criação de um DPIA por um controlador de dados que o utilize. Em vez disso, se um DPIA é necessário depende dos detalhes e contexto de como o controlador de dados implementa, configura e utiliza Dynamics 365 ou o Power Platform. Em todo caso, uma AIPD deve começar no início de um projeto e ser executada em paralelo ao processo de planejamento e desenvolvimento.
O objetivo deste documento é fornecer aos controladores de dados informações sobre Dynamics 365 e o Power Platform que o ajudarão a determinar se precisa de um DPIA e, se assim for, que detalhes deve incluir.
Observação
A Microsoft não está fornecendo nenhum conselho legal neste documento. Este documento está sendo fornecido apenas para fins informativos. Os clientes são encorajados a trabalhar com os respetivos responsáveis pela privacidade (e/ou Data Protection Officer (DPO) quando designados) e/ou com o advogado e/ou consultores para determinar a necessidade e o conteúdo de quaisquer DPIAs relacionadas com a utilização do Microsoft Dynamics 365, Do Power Platform ou de qualquer outro serviço online da Microsoft.
Parte 1: Determinar se a DPIA é necessária
O artigo 35.º do RGPD exige que um responsável pelo tratamento de dados crie uma Avaliação do Impacto da Proteção de Dados "[w]aqui um tipo de processamento, em particular, utilizando novas tecnologias e tendo em conta a natureza, o âmbito, o contexto e os fins do processamento, é susceptível de resultar num elevado risco para os direitos e liberdades das pessoas naturais." Define ainda fatores específicos que indicam um risco elevado, que são abordados na tabela seguinte: ao determinar se um DPIA é necessário, um controlador de dados deve considerar estes fatores, juntamente com quaisquer outros fatores relevantes, tendo em conta as implementações específicas do controlador e as utilizações do Dynamics 365 e do Power Platform.
| Fator de risco | Informações Relevantes sobre o Dynamics 365 e o Power Platform |
|---|---|
| Avaliação sistemática e completa dos aspectos pessoais relacionados a pessoas singulares, baseada no tratamento automatizado, incluindo a criação de perfis, sendo com base nela adotadas decisões que produzem efeitos legais relativamente à pessoa física ou que a afetem significativamente de forma semelhante; | Alguns serviços do Dynamics 365 e do Power Platform executam determinado processamento automatizado de dados, como a classificação de oportunidades potenciais ou oportunidades (por exemplo, prever a probabilidade de uma venda ocorrer). No entanto, os serviços Dynamics 365 e Power Platform não foram concebidos para efetuar o processamento em que decisões são baseadas que produzem efeitos legais ou igualmente significativos em indivíduos. No entanto, uma vez que Dynamics 365 e o Power Platform são serviços altamente personalizáveis, um controlador de dados pode configurá-los potencialmente para serem utilizados para esse processamento. Os controladores de dados devem fazer esta determinação com base na utilização do Dynamics 365 e do Power Platform. |
| Processamento em grande escala1 de categorias especiais de dados (dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou associação sindical, e o processamento de dados genéticos, dados biométricos utilizados para identificar exclusivamente uma pessoa natural, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa natural), ou de dados pessoais relacionados com condenações criminais e infrações; | Dynamics 365 e os serviços do Power Platform não foram concebidos para processar categorias especiais de dados pessoais em grande escala. No entanto, um controlador de dados pode utilizar Dynamics 365 e o Power Platform para processar as categorias especiais de dados enumeradas. Além disso, o Dynamics 365 e o Power Platform é um serviço altamente personalizável que permite ao cliente controlar ou processar dados pessoais, incluindo categorias especiais de dados pessoais. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e normalmente teria uma visão insuficiente para esse uso. |
| Monitoramento sistemático de uma área de acesso público em grande escala | Dynamics 365 e o Power Platform não foram concebidos para realizar ou facilitar essa monitorização em grande escala. No entanto, o controlador de dados poderia usá-lo para processar dados coletados por meio de tais monitoramentos. Dynamics 365 e o Power Platform são serviços altamente personalizáveis que permitem ao cliente controlar ou processar qualquer tipo de dados, incluindo dados de monitorização. Enquanto processador de dados, a Microsoft não tem controlo sobre essa utilização e tem poucas ou nenhumas informações sobre essa utilização. O controlador de dados é responsável por determinar os usos apropriados dos dados do controlador de dados. |
Observação
1 Com relação aos critérios que o processamento é em “grande escala”, o Recital 91 do RGPD esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes de um médico, outro profissional da saúde ou advogado. Nesses casos, a avaliação de impacto sobre a proteção dos dados não deve ser obrigatória.”
Parte 2: Conteúdo de uma DPIA
O n.º 7 do artigo 35.º do RGPD determina que uma Avaliação do Impacto da Proteção de Dados especifica as finalidades do processamento e uma descrição sistemática do processamento previsto. Uma descrição sistemática num DPIA abrangente pode incluir fatores como os tipos de dados processados, a duração da retenção dos dados, a localização e a transferência dos dados e o acesso de terceiros aos dados. Idealmente, um diagrama de fluxo de dados suporta a descrição. Além disso, a AIPD deve incluir:
- Uma avaliação da necessidade e proporcionalidade das operações de processamento em relação aos fins;
- Uma avaliação dos riscos para os direitos e liberdades das pessoas singulares; e
- As medidas utilizadas para fazer face aos riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar o cumprimento do RGPD tendo em conta os direitos e os interesses legítimos dos titulares dos dados e de outras pessoas em causa.
A tabela abaixo contém informações sobre Dynamics 365 e o Power Platform que são relevantes para cada um desses elementos. Tal como na Parte 1, os controladores de dados têm de considerar os detalhes indicados abaixo, juntamente com quaisquer outros fatores relevantes, no contexto das implementações e utilizações específicas do controlador de dados do Dynamics 365 ou do Power Platform.
| Elementos da AIPD | Informações Relevantes sobre o Dynamics 365 e o Power Platform |
|---|---|
| Propósitos de processamento | O(s) objetivo(s) do processamento de dados com o Dynamics 365 e o Power Platform é determinado pelo controlador que implementa, configura e utiliza. Conforme especificado pelos Termos do Produto e Pela Adenda de Proteção de Dados (DPA) dos Produtos e Serviços Microsoft, a Microsoft, enquanto processador de dados, processa os Dados do Cliente para fornecer ao cliente Serviços Online de acordo com as instruções documentadas do cliente. Conforme detalhado na Adenda de Proteção de Dados (DPA) dos Termos e Produtos e Produtos do Produto, a Microsoft também utiliza dados pessoais para suportar um conjunto limitado de operações empresariais. A Microsoft é responsável pelo processamento de dados pessoais para suportar estas operações empresariais específicas. Geralmente, a Microsoft agrega dados pessoais antes de os utilizar para as nossas operações empresariais, removendo a capacidade da Microsoft de identificar indivíduos específicos. A Microsoft utiliza dados pessoais na forma menos identificável que irá suportar o processamento necessário para operações empresariais. A Microsoft não utilizará os Dados do Cliente ou informações derivadas dos mesmos para criação de perfis ou publicidade ou fins comerciais semelhantes. Dynamics 365 é uma plataforma online de processamento que inclui vários serviços online discretos, cada um dos quais tem objetivos distintos de processamento. Pode encontrar descrições de cada oferta de serviço Dynamics 365 aqui e a oferta do serviço Power Platform aqui. Dynamics 365 e o Power Platform processam dados pessoais apenas para fornecer aos clientes os seus serviços online, incluindo fins compatíveis com o fornecimento desses serviços. |
| Categorias de dados pessoais processados |
Dados do Cliente: todos os dados, incluindo texto, som, vídeo ou ficheiros de imagem e software, que os clientes fornecem à Microsoft ou que são fornecidos em nome dos clientes através da utilização do Microsoft serviços online. Inclui os dados que os clientes carregam para armazenamento ou processamento e personalizações. Dados Gerados pelo Serviço: dados gerados pela Microsoft quando opera um serviço, como dados de utilização ou desempenho. A maioria desses dados contém identificadores pseudônimos gerados pela Microsoft. Dados dos Serviços Profissionais: todos os dados, incluindo todo o texto, som, vídeo, ficheiros de imagem ou software fornecidos à Microsoft por ou em nome do Cliente (ou que o Cliente autoriza a Microsoft a obter a partir de um Produto) ou obtidos ou processados por ou em nome da Microsoft através de um compromisso com a Microsoft para obter Serviços Profissionais. Para obter mais informações sobre os dados processados pelo Dynamics 365 e o Power Platform, consulte Os Termos do Produto e a Adenda de Proteção de Dados dos Produtos e Serviços Microsoft. |
| Retenção de dados | A Microsoft irá manter os Dados do Cliente durante o direito do cliente a utilizar o serviço, até que todos os Dados do Cliente sejam eliminados ou devolvidos de acordo com as instruções do cliente ou os termos da Adenda de Proteção de Dados (DPA) dos Termos e Produtos e Produtos e Serviços. Durante o período da subscrição do cliente, o cliente terá a capacidade de aceder e extrair dados de clientes armazenados em cada serviço online. Normalmente, a Microsoft irá manter os Dados do Cliente armazenados no Serviço Online numa conta de função limitada durante 90 dias após a expiração ou cessação da subscrição do cliente, para que o cliente possa extrair os dados. Após o fim do período de retenção de 90 dias, a Microsoft desativará a conta de cliente e eliminará os Dados do Cliente. O cliente pode eliminar Dados do Cliente e dados pseudónimos em qualquer altura com as capacidades descritas no Guia de Direitos dos Titulares dos Dados do Dynamics 365 e do Power Platform. |
| Localização e transferências de dados pessoais | Os clientes têm a capacidade de aprovisionar Dados do Cliente inativos em regiões geográficas especificadas, sujeitos a determinadas exceções, conforme definido na Adenda de Proteção de Dados (DPA) de Produtos e Serviços. Para obter mais informações sobre implementações de serviços e residência de dados, visite o Centro de Confiança da Microsoft e um artigo do Dynamics 365 e do Power Platform sobre a localização e disponibilidade de dados em Dynamics 365 disponibilidade e localizações de dados e Disponibilidade internacional do Microsoft Power Platform. Relativamente aos dados pessoais transferidos para fora do Espaço Económico Europeu, da Suíça e do Reino Unido, a Microsoft garantirá que as transferências de dados pessoais para um país terceiro ou organização internacional estão sujeitas a salvaguardas adequadas, conforme descrito no artigo 46.º do RGPD. Para além dos compromissos da Microsoft ao abrigo das Cláusulas Contratuais Standard para processadores e outros contratos de modelo, a Microsoft continua a respeitar os termos do Data Privacy Framework. |
| Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Essa avaliação dependerá das necessidades e propósitos de processamento do controlador de dados. A Microsoft toma medidas como a agregação de dados pessoais utilizados pela Microsoft para suportar operações empresariais para suportar o aprovisionamento dos serviços, minimizando o risco de esse processamento para titulares de dados que utilizam o serviço. No que se refere ao processamento realizado pela Microsoft, esse processamento é necessário e proporcional à prestação dos serviços ao controlador de dados. |
| Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos para os direitos e liberdades dos titulares dos dados da utilização do Dynamics 365 ou do Power Platform dependerão de como e em que contexto o controlador de dados implementa, configura e utiliza. A Microsoft toma medidas como a agregação de dados pessoais quando utilizada para suportar operações empresariais, reduzindo o risco de esse processamento para titulares de dados que utilizam o serviço. No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para resolver estes riscos são abordadas abaixo. |
| Compartilhamento de dados com subprocessadores de terceiros | A Microsoft partilha dados com terceiros que atuam como os nossos subprocessadores (conforme definido no RGPD) para suportar funções como suporte técnico e de cliente, manutenção do serviço e outras operações. Todos os subprocessadores para os quais a Microsoft transfere Dados do Cliente, Dados de Suporte ou Dados Pessoais terão celebrado contratos escritos com a Microsoft que não sejam menos protetores do que os termos da Adenda de Proteção de Dados (DPA) dos Termos e Produtos e Produtos e Serviços. Todos os subprocessadores de terceiros com os quais os Dados do cliente do Core Online Services da Microsoft são compartilhados estão incluídos na lista Subcontratados dos serviços on-line da Microsoft. |
| Direitos das entidades de dados | Ao operar como um processador, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais dos seus assuntos de dados e a capacidade de preencher as solicitações de assunto de dados quando eles exercitarem suas permissões sob o GDPR. A Microsoft fá-lo de forma consistente com a funcionalidade do produto e a nossa função como processador. Se a Microsoft receber um pedido dos titulares dos dados do cliente para exercer um ou mais dos seus direitos ao abrigo do RGPD, redirecionamos os dados sujeitos a fazer o pedido diretamente para o controlador de dados. Veja o guia Dynamics 365 e Pedidos de Titulares de Dados do Power Platform para obter informações sobre como suportar os direitos dos titulares dos dados com as capacidades no Dynamics 365 e no Power Platform. Geralmente, a Microsoft agrega dados pessoais antes de os utilizar para as nossas operações empresariais e não está em condições de identificar dados pessoais de uma pessoa específica no agregado. Isto reduz o risco de privacidade para o indivíduo. Na situação em que a Microsoft não está em posição de identificar o indivíduo, não pode oferecer suporte aos direitos do titular dos dados para acesso, eliminação, portabilidade ou restrição ou objeção de processamento. |
| Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos | A Microsoft está empenhada em ajudar a proteger a segurança dos Dados do Cliente. As medidas de segurança que a Microsoft toma são descritas detalhadamente nos Termos do Produto. A Microsoft cumpre os rígidos padrões de segurança e a metodologia de proteção de dados líder do setor. A Microsoft está melhorando continuamente seus sistemas para lidar com novas ameaças. Estão disponíveis mais informações sobre a governação da cloud e as práticas de privacidade na página Descrição Geral da Conformidade do Centro de Confiança da Microsoft . A Microsoft toma medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processa. Estas medidas incluem, mas não se limitam a, políticas e práticas internas de privacidade, compromissos contratuais e certificações padrão internacionais e regionais. Estão disponíveis mais informações na página Privacidade do Centro de Confiança. Para obter uma lista detalhada dos controlos geridos pela Microsoft (controlos técnicos e de processos empresariais) para segurança implementada pelo Dynamics 365 e pelo Power Platform, visite o Portal de Confiança do Serviço. Além disso, quando a Microsoft atua como um processador de dados, está em conformidade com todas as outras obrigações do RGPD que se aplicam aos processadores de dados. Quando a Microsoft processa dados pessoais para as suas operações empresariais, cumpre as obrigações do RGPD que se aplicam aos controladores de dados. |