Aprenda funções e responsabilidades
O Microsoft serviços online se baseia em um modelo de responsabilidade compartilhada, no qual parte da responsabilidade pela segurança e privacidade está com o provedor de serviços de nuvem e parte pertence ao cliente. A divisão de responsabilidades entre a Microsoft e seus clientes depende do modelo de serviço em uso (infraestrutura, plataforma ou software como serviço), como o serviço é configurado e usado por cada cliente e as leis e regulamentos de privacidade aplicáveis.
Por exemplo, as seguintes funções e responsabilidades ilustram as provisões do GDPR:
Controlador de dados – o controlador controla dados pessoais e determina como eles são usados. As responsabilidades do controlador incluem, mas não se limitam a coletar, manter, direcionar ações, proteger, modificar e excluir dados pessoais. O controlador adiciona usuários ao sistema, concede acesso ao sistema e coleta dados de titulares de dados ou tem funcionários que concluem essas tarefas em nome da empresa. A carga de entender o processo para solicitações de RGPD e realizar uma solicitação RGPD está com o controlador.
Essa função é coberta pelo cliente da Microsoft.
Processador de dados – o processador fornece serviços e processa dados em nome do controlador de dados. O processador executa ações em nome do controlador. A ajuda do processador possibilita que o controlador esteja em conformidade com o GDPR, mas não tem propriedade dos dados e não responde diretamente às Solicitações do Titular dos Dados ou executa avaliações de impacto da proteção de dados.
Essa função é coberta pela Microsoft. Como processador de dados, a Microsoft implementa controles de segurança e privacidade para proteger nossos serviços e ajuda os controladores de dados a cumprir suas obrigações de conformidade. Por exemplo, a Microsoft fornece recursos de alternância de administrador para controlar os recursos de privacidade em suas locações. Além disso, trabalhamos diretamente com os administradores de locatários do cliente e redirecionamos as perguntas dos usuários finais sobre o serviço ou solicitações de titulares de dados para dados pessoais.
Um aspecto importante a ser examinado é o que queremos dizer com a maneira como habilitamos a conformidade. Os nossos clientes perguntam frequentemente: "O que significa, está ou não a cumprir estas leis e regulamentos?" Para a maioria dos regulamentos específicos do setor ou geográficos, é possível utilizar os serviços online da Microsoft de uma forma que cumpra uma lei ou regulamento. No entanto, não é possível para o Microsoft serviços online garantir a conformidade de ponta a ponta porque a Microsoft não analisa o conteúdo dos dados pessoais do cliente.
Por exemplo, as organizações cobertas pela HIPAA ou outras regulamentações devem ter seu próprio programa de treinamento em vigor e segurança para garantir que seus funcionários não usem nosso serviços Microsoft para violar esses regulamentos. O máximo que a Microsoft pode garantir é que faremos nossa parte e, assim, permitir que um cliente execute um programa legalmente compatível.
Para fornecer um exemplo, um médico dos EUA pode armazenar informações de saúde protegidas dos pacientes em nosso serviço, regulamentadas pela HIPAA. A Microsoft tem controles de segurança e privacidade para garantir que a equipe não possa acessar ou divulgar essas informações de pacientes indevidamente. No entanto, um médico que seja um usuário dos serviços pode usá-lo para enviar informações confidenciais do paciente a um profissionais de marketing. A Microsoft, inconscientemente, entregaria essa mensagem fazendo com que o cliente violasse a HIPAA. A Microsoft consideraria estar seguindo a direção de um representante do cliente.
A Microsoft está por trás do compromisso de executar e operar seus serviços com práticas de tecnologia, segurança e privacidade de última geração em vigor; cada cliente e usuário de nossos serviços tem a responsabilidade de determinar como eles estão em conformidade com as necessidades e obrigações específicas.