Avaliações do Impacto sobre a Proteção dos Dados: orientações para controladores de dados que usam o Microsoft Office 365
Nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD), os controladores de dados são obrigados a preparar uma Avaliação do Impacto da Proteção de Dados (DPIA) para operações de processamento que "possam resultar num risco elevado para os direitos e liberdades das pessoas singulares". Não há nada inerente ao Microsoft Office 365 que exija necessariamente a criação de um DPIA por um controlador de dados que o utilize. Em vez disso, se um DPIA é necessário depende dos detalhes e contexto de como o utilizador, enquanto controlador de dados, implementa, configura e utiliza Office 365.
A Parte 1 deste documento fornece informações sobre o Office 365 para ajudá-lo, como um controlador de dados, a determinar se uma DPIA é necessária. Se a resposta for 'sim', as partes 2 e 3 deste documento fornecem informações importantes da Microsoft que podem ajudar a redigí-lo. Especificamente, a Parte 2 fornece respostas aplicáveis a todos os serviços do Office 365 para cada um dos elementos necessários de uma DPIA. A Parte 3 fornece informações adicionais específicas do produto para uma série de necessidades de informações mais relevantes de nossos clientes para fins de elaboração de suas próprias DPIAs. A Parte 3 também inclui um documento DPIA ilustrativo que você pode baixar e modificar para tornar o esboço de DPIAs mais fácil para você.
Office 365 aplicações e serviços incluem, mas não se limitam a, Exchange Online, SharePoint, OneDrive para trabalho e escola, Viva Engage e Microsoft Teams. Uma lista mais completa de serviços disponíveis através do Office 365 pode ser vista nas Tabelas 1 e 2 do Guia de Solicitação do Titular dos Dados do Microsoft Office 365.
Parte 1: Determinar se a DPIA é necessária
O Artigo 35 do GDPR exige que um controlador de dados crie uma Avaliação de Impacto da Proteção de Dados 'em que um tipo de processamento, em particular usando novas tecnologias, e levando em consideração a natureza, o escopo, o contexto e as finalidades do processamento, provavelmente resultará em um alto risco para os direitos e liberdades das pessoas físicas. ' Ele inclui ainda fatores específicos que indicariam um alto risco, que são abordados na tabela a seguir. Ao determinar se uma DPIA é necessária, você, como um controlador de dados, deve considerar esses fatores, juntamente com quaisquer outros fatores relevantes, à luz da(s) implementação(ões) específica(s) do controlador e do(s) uso(s) do Office 365.
Fator de risco | Informações relevantes sobre o Office 365 |
---|---|
Uma avaliação sistemática e extensa dos aspectos pessoais relativos às pessoas físicas que se baseia no processamento automatizado, incluindo perfis, e na qual se baseiam as decisões que produzem efeitos jurídicos relativos à pessoa física ou afetam de forma significativa a pessoa física | Consoante a configuração do controlador de dados, Office 365 podem efetuar determinado processamento automatizado de dados, como a análise realizada pelo Viva Informações Pessoais que permite ao controlador de dados obter informações sobre como as pessoas colaboram numa organização com base em informações de cabeçalho de calendário e de e-mail das caixas de correio do utilizador. O Office 365 não foi projetado para executar o processamento automatizado como base para decisões que produzem efeitos legais ou significativos semelhantes em indivíduos. No entanto, como o Office 365 é um serviço altamente personalizável, um controlador de dados pode potencialmente usá-lo para esse processamento. |
Processamento em grande escala 1 de categorias especiais de dados (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa) ou de dados pessoais relacionados a crimes e condenações criminais | Office 365 não foi concebido para processar categorias especiais de dados pessoais em grande escala. No entanto, um controlador de dados pode usar o Office 365 para processar as categorias de dados especiais enumeradas. O Office 365 é um serviço altamente personalizável que permite que o cliente acompanhe ou processe qualquer tipo de dados pessoais, incluindo categorias especiais de dados pessoais. Qualquer uso desse tipo é relevante para a determinação de um controlador sobre a necessidade de uma DPIA. No entanto, como um processador de dados, a Microsoft não tem controle sobre esse uso e normalmente teria uma visão insuficiente para esse uso. |
Monitoramento sistemático de uma área de acesso público em grande escala | O Office 365 não foi projetado para conduzir ou facilitar tais monitoramentos. No entanto, o controlador de dados poderia usá-lo para processar dados coletados por meio de tais monitoramentos. |
Observação
1 Em relação aos critérios de que o processamento seja em “grande escala”, o Recital 91 do RGPD esclarece que: “O processamento de dados pessoais não deve ser considerado em grande escala se o processamento se referir a dados pessoais de pacientes ou clientes por um médico individual, outro profissional da saúde ou advogado. Nesses casos, a avaliação de impacto sobre a proteção dos dados não deve ser obrigatória.”
Parte 2: Conteúdo de uma DPIA
O Artigo 35(7) do GDPR exige que uma Avaliação de Impacto da Proteção de Dados especifique as finalidades do processamento e uma descrição sistemática do processamento previsto. Nas DPIAs da Microsoft, essa descrição sistemática inclui fatores como os tipos de dados processados, quanto tempo os dados são retidos, onde os dados são localizados e transferidos e quais terceiros podem ter acesso aos dados. Além disso, a AIPD deve incluir:
- uma avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos;
- uma avaliação dos riscos aos direitos e às liberdades dos indivíduos; e
- as medidas previstas para fazer face aos riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade do Regulamento Geral sobre a Proteção de Dados, tendo em conta os direitos e interesses legítimos dos titulares dos dados e outras pessoas em causa.
A tabela a seguir fornece informações importantes da Microsoft que podem ajudar no seu esboço da DPIA. Ele contém informações sobre o Microsoft Office 365 que são relevantes para cada um dos elementos necessários de uma DPIA. Como na Parte 1, os controladores de dados devem considerar os detalhes fornecidos abaixo, junto com os detalhes de suas próprias implementações específicas e uso do Microsoft Office 365.
Fatores de risco | Informações relevantes Sobre o Office 365 |
---|---|
Propósitos de processamento | Os propósitos de processamento de dados usando o Office 365 são determinados pelo controlador que o implementa, configura e utiliza. Conforme especificado pelos Termos do Produto e Pela Adenda de Proteção de Dados dos Produtos e Serviços Microsoft (DPA), a Microsoft, enquanto processador de dados, processa os Dados do Cliente para fornecer aos Clientes os Serviços Online de acordo com as instruções documentadas do Cliente. Conforme detalhado nos Termos padrão do Produto e na Adenda de Proteção de Dados (DPA) dos Produtos e Serviços Microsoft, a Microsoft também utiliza Dados Pessoais para suportar um conjunto limitado de operações comerciais legítimas que consistem em: (1) faturação e gestão de contas; (2) compensação (por exemplo, calcular as comissões dos trabalhadores e os incentivos dos parceiros); (3) relatórios internos e modelação (por exemplo, previsão, receita, planeamento de capacidade, estratégia do produto); (4) relatórios financeiros e conformidade com obrigações legais (sujeitos às limitações relativas à divulgação dos Dados do Cliente descritos nos Termos do Produto e na Adenda à Proteção de Dados). A Microsoft aceita a obrigação de um responsável pelo processamento de dados pessoais suportar estas operações comerciais legítimas específicas. A Microsoft agrega Dados Pessoais antes de os utilizar para as nossas operações comerciais legítimas, removendo a capacidade da Microsoft de identificar indivíduos específicos e utiliza dados pessoais na forma menos identificável que suportará o processamento necessário para operações comerciais legítimas. A Microsoft não usará os dados do cliente ou as informações derivadas deles para a criação de perfil, nem para publicidade ou fins empresariais semelhantes. |
Categorias de dados pessoais processados |
Dados do cliente: são todos os dados, incluindo texto, som, vídeo ou arquivos de imagem e software que os clientes fornecem à Microsoft ou que são fornecidos em nome do cliente para o uso dos serviços on-line da Microsoft. Inclui os dados que os clientes carregam para armazenamento ou processamento, assim como para personalizações. Exemplos de Dados de Cliente processados no Office 365 incluem conteúdos de e-mail em Exchange Online e documentos ou ficheiros armazenados no SharePoint ou no OneDrive para trabalho e escola. Dados gerados pelo serviço: esses dados são gerados ou derivados pela Microsoft por meio do serviço, como usar ou dados de desempenho. A maioria desses dados contém identificadores pseudônimos gerados pela Microsoft. Dados de diagnóstico: esses dados são coletados ou obtidos pela Microsoft com o software que é instalado localmente pelo cliente em conjunto com o serviço on-line e também pode ser chamado de telemetria. Esses dados são geralmente identificados por atributos do software instalado localmente ou pela máquina que executa esse software. Dados de Suporte: esses dados são fornecidos à Microsoft pelo Cliente ou em seu nome (ou esse Cliente autoriza a Microsoft a obtê-los de um Serviço Online) através de um compromisso com a Microsoft para obter suporte técnico para os Serviços Online. Os Dados do Cliente, os Dados de Registro e de Suporte gerados pelo sistema não incluem os Dados do Administrador e de cobrança, como as informações de contato do administrador do cliente, informações da assinatura e dados de pagamento, que a Microsoft coleta e processa na qualidade de controladora de dados e está fora do escopo deste documento. |
Retenção de dados |
Dados do Cliente: Conforme estabelecido nos Termos da Proteção de Dados nos Termos do Produto e na Adenda à Proteção de Dados, a Microsoft retém os Dados do Cliente durante o direito do cliente a utilizar o serviço e até que todos os Dados do Cliente sejam eliminados ou devolvidos de acordo com as instruções do cliente ou os termos da Adenda aos Termos do Produto e à Adenda à Proteção de Dados. Sempre durante o período da subscrição do cliente, o cliente tem a capacidade de aceder, extrair e eliminar Dados do Cliente armazenados no serviço, sujeito, em alguns casos, a funcionalidades específicas do produto destinadas a mitigar o risco de eliminação inadvertida (por exemplo, pasta de itens recuperados do Exchange), conforme descrito na documentação do produto. Exceto para avaliações gratuitas e serviços do LinkedIn, a Microsoft reterá os Dados do cliente armazenados no Serviço on-line em uma conta de função limitada por 90 dias após a expiração ou o término da assinatura do cliente, para que o cliente possa extrair os dados. Após o período de retenção de 90 dias, a Microsoft desabilitará a conta do cliente e excluirá os Dados do Cliente. Dados de Log gerados pelo sistema: esses dados são retidos por um período padrão de até 180 dias a partir da coleta, sujeitos a períodos de retenção mais longos quando exigidos para a segurança dos serviços ou para cumprir obrigações legais ou regulamentares. Para obter mais informações sobre recursos de serviços que permitem que o cliente exclua dados pessoais mantidos no serviço a qualquer momento, consulte o Guia de Solicitações de Entidades de Dados do Office 365. |
Localização e transferências de dados pessoais | Conforme descrito no Anexo 1 dos Termos do Produto, se o Cliente aprovisionar a instância de Office 365 na Austrália, Canadá, União Europeia, França, Índia, Japão, Coreia do Sul, Reino Unido ou Estados Unidos, a Microsoft armazena os seguintes Dados de Cliente inativos apenas nessa localização: (1) Exchange Online conteúdo da caixa de correio (corpo de e-mail, entradas de calendário e o conteúdo dos anexos de e-mail), (2) conteúdo do site sharePoint e os ficheiros armazenados nesse site, (3) ficheiros carregados para o OneDrive para trabalho e escola e (4) conteúdos de projeto carregados para Project Online. Relativamente aos dados pessoais transferidos para fora do Espaço Económico Europeu, da Suíça e do Reino Unido, a Microsoft garantirá que as transferências de dados pessoais para um país terceiro ou organização internacional estão sujeitas a salvaguardas adequadas, conforme descrito no artigo 46.º do RGPD. Além dos compromissos da Microsoft ao abrigo das Cláusulas Contratuais Standard para processadores e outros contratos de modelo, a Microsoft cumpre os termos do Data Privacy Framework. |
Compartilhamento de dados com subprocessadores de terceiros | A Microsoft compartilha dados com terceiros que atuam como nossos subprocessadores para oferecer suporte a funções como suporte técnico e ao cliente, manutenção de serviços e outras operações. Todos os subcontratantes para os quais a Microsoft transfere Dados do Cliente, Dados de Suporte ou Dados Pessoais terão celebrado contratos escritos com a Microsoft que não sejam menos protetores do que os Termos de Proteção de Dados dos Termos do Produto. Todos os subprocessadores de terceiros com os quais os Dados de Cliente dos Principais Serviços Online da Microsoft são partilhados estão incluídos na divulgação do Subprocessador dos Serviços Online. Todos os subprocessadores de terceiros que podem acessar dados de suporte (incluindo dados do cliente que os clientes optam por compartilhar durante suas interações de suporte) estão incluídos na lista de Contrato de suporte comercial da Microsoft. |
Compartilhamento de dados com terceiros independentes | Alguns produtos do Office 365 incluem opções de extensibilidade que permitem, na eleição do controlador, o compartilhamento de dados com terceiros independentes. Por exemplo, o Exchange Online é uma plataforma extensível que permite que suplementos ou conectores de terceiros se integrem ao Outlook e estendam os conjuntos de recursos do Outlook. Esses provedores de suplementos ou conectores de terceiros agem independentemente da Microsoft e seus suplementos ou conectores devem ser habilitados pelos usuários ou administradores corporativos, que se autenticam com sua conta de suplemento ou conector. A Microsoft não divulgará Dados do Cliente ou Dados de Suporte à aplicação da lei, a menos que seja exigido por lei. Se a aplicação da lei contactar a Microsoft com uma exigência de Dados do Cliente ou Dados de Suporte, a Microsoft tentará redirecionar a agência de aplicação da lei para pedir esses dados diretamente ao Cliente. Se for obrigada a divulgar Dados do Cliente ou Dados de Suporte à aplicação da lei, a Microsoft notificará prontamente o Cliente e fornecerá uma cópia do pedido, a menos que esteja legalmente proibida de o fazer. Após a receção de qualquer outro pedido de terceiros para Dados do Cliente ou Dados de Suporte, a Microsoft notificará prontamente o Cliente, a menos que seja proibido por lei. A Microsoft rejeitará o pedido, a menos que seja exigido por lei para cumprir. Se o pedido for válido, a Microsoft tentará redirecionar terceiros para pedir os dados diretamente ao cliente. |
Direitos dos titulares dos dados | Ao operar como um processador, a Microsoft disponibiliza aos clientes (controladores de dados) os dados pessoais dos seus assuntos de dados e a capacidade de preencher as solicitações de assunto de dados quando eles exercitarem suas permissões sob o GDPR. Fazemos isso de maneira consistente com a funcionalidade do produto e nosso papel como processador. Se recebermos uma solicitação dos titulares de dados do cliente para exercer um ou mais dos seus direitos sob o RGPD, redirecionamos o titular dos dados para fazer sua solicitação diretamente ao controlador de dados. O Guia de Solicitações de Assunto de Dados do Office 365 fornece uma descrição para o controlador de dados sobre como oferecer suporte a direitos de assunto de dados usando os recursos do Office 365. Os pedidos de dados sujeitos a direitos de exercício ao abrigo do RGPD para dados pessoais processados para suportar os processos empresariais legítimos devem ser direcionados para a Microsoft, conforme clarificado na Declaração de Privacidade da Microsoft. Geralmente, a Microsoft agrega pessoalmente antes de utilizá-la para as nossas operações comerciais legítimas e não está em condições de identificar dados pessoais de uma pessoa específica no agregado. Isso reduz significativamente o risco de privacidade para o indivíduo. No caso de a Microsoft não estar em posição de identificar o indivíduo, não pode oferecer suporte aos direitos do titular dos dados para acesso, rasura, portabilidade, restrição ou objeção de processamento. |
Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos | Esta avaliação depende das necessidades e finalidades do processamento do controlador. Em relação ao processamento realizado pela Microsoft, ele é necessário e proporcional ao propósito de fornecer os serviços ao controlador de dados. |
Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados | Os principais riscos aos direitos e às liberdades dos titulares de dados derivados do uso do Office 365 serão em função de como e em que contexto o controlador de dados implementa, configura e o usa. A Microsoft toma medidas como o anonimato ou agregação de dados pessoais usados pela Microsoft para oferecer suporte a operações comerciais legítimas para oferecer suporte aos serviços, minimizando o risco desse processamento para os titulares de dados que usam o serviço. No entanto, como com qualquer serviço, os dados pessoais mantidos no serviço podem correr o risco de acesso não autorizado ou divulgação inadvertida. As medidas que a Microsoft toma para lidar com esses riscos são discutidas nas seções a seguir. |
Medidas previstas para lidar com os riscos, incluindo garantias, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD considerando os direitos e os interesses legítimos dos titulares dos dados e de terceiros envolvidos | A Microsoft está comprometida em ajudar a proteger a segurança das informações do cliente. Em conformidade com as cláusulas do Artigo 32 do RGPD, a Microsoft implementou, manterá e seguirá as medidas técnicas e organizacionais apropriadas com a intenção de proteger os Dados do Cliente e de Suporte contra o acesso, a divulgação, a alteração, a perda ou a destruição acidental, não autorizada ou ilegal. Além disso, a Microsoft cumpre todas as demais obrigações do RGPD que se aplicam a processadores de dados, incluindo, entre outras, avaliações do impacto na proteção dos dados e manutenção de registros. Nos casos em que a Microsoft processa dados pessoais para suas operações comerciais legítimas, ela cumpre as obrigações GDPR aplicáveis aos controladores de dados. |
Parte 3: As DPIAs são difíceis, mas isso pode ajudar
Se você determinou que sua organização precisa redigir uma DPIA, as informações nesta seção foram projetadas para ajudar a tornar esse processo mais fácil para você.
Esta seção:
- fornece o Microsoft Office 365 e os elementos de serviço relevantes de informações específicas do produto, e
- fornece um modelo de DPIA em branco que você pode baixar, modificar e usar para criar suas próprias DPIAs.
Matriz de elementos de serviço DPIA
A Matriz de Elementos de Serviço de DPIA é uma organização de conteúdo que pode ser útil ao iniciar o processo de documentação de sua DPIA. É organizado por serviço e fornece informações específicas do produto e links para documentação que podem ajudá-lo a esboçar respostas responsivas aos elementos da DPIA necessários com mais facilidade.
Documento personalizável da DPIA
Percebemos que elaborar DPIAs pode ser um esforço demorado. Embora a DPIA de cada cliente seja diferente com base em como cada organização configura e usa o Microsoft Office 365, o documento a seguir pode economizar seu tempo. Você pode baixar o Documento DPIA Personalizável como um modelo ilustrativo modificável para começar rapidamente. É gratuito para você usar e se adaptar à sua implementação específica do serviço. Este documento não deve ser interpretado como aconselhamento jurídico fornecido pela Microsoft ou qualquer uma de suas afiliadas. Se você tiver alguma dúvida sobre o processo de redação da DPIA, recomendamos que consulte seu advogado.