Solicitações de assunto de dados e o RGPD e CCPA

O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Pode encontrar detalhes adicionais no artigo Resumo do RGPD.

Da mesma forma, a Lei de Privacidade do Consumidor da Califórnia (CCPA), fornece direitos e obrigações de privacidade aos consumidores da Califórnia, incluindo direitos semelhantes aos Direitos do Titular dos Dados do RGDP, como o direito de excluir, acessar e receber (portabilidade) suas informações pessoais. O CCPA também fornece certas divulgações, proteções contra discriminação ao eleger direitos de exercício e requisitos de "aceitação/recusa" para determinadas transferências de dados classificadas como "vendas". Neste documento, você poderá obter informações sobre como concluir as solicitações de entidades de dados (DSRs) em RGPD e CCPA usando produtos e serviços da Microsoft.

• Office 365
• Azure
• Intune
• Dynamics 365
• Família do Visual Studio
• Azure DevOps Services
• Suporte e Serviços Profissionais da Microsoft
• Windows
• Windows 365

Terminologia

Definições úteis para os termos do RGPD usados neste documento:

• Controlador de Dados (Controlador): uma pessoa jurídica, uma autoridade pública, uma agência ou outro corpo que, isoladamente ou em conjunto com outras pessoas, determina a finalidade e o meio de processamento de dados pessoais.
• Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.
• Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.
• Dados do cliente: dados produzidos e armazenados nas operações do dia a dia para o trabalho em andamento.

O que é um DSR?

O RGPD (Regulamento Geral sobre a Proteção de Dados) da União Europeia concede o direito às pessoas (conhecidas na regulamentação como entidades de dados) de gerenciar os dados pessoais coletados por um empregador ou outro tipo de agência ou organização (conhecidos como controladores de dados ou apenas controladores). O RGPD fornece às entidades de dados direitos específicos a seus dados pessoais. Esses direitos incluem obter cópias, solicitar alterações, restringir o processamento, excluir ou receber os dados em um formato eletrônico para que eles possam ser passados para outro controlador.

A Lei de Privacidade do Consumidor da Califórnia (CCPA), fornece direitos e obrigações de privacidade aos consumidores da Califórnia, incluindo direitos semelhantes aos Direitos do Titular dos Dados do GDPR, como o direito de excluir, acessar e receber (portabilidade) suas informações pessoais.

Como controlador, é obrigado a considerar rapidamente cada DSR e fornecer uma resposta substantiva ao tomar a ação pedida ou ao fornecer uma explicação para o motivo pelo qual o DSR não pode ser acomodado pelo controlador. Um controlador deve consultar seus próprios consultores legais ou de conformidade quanto ao descarte apropriado de um determinado DSR.

Vários processos podem estar envolvidos na conclusão de um DSR, sujeito às regras de RGPD de conformidade da sua organização.

• Descoberta. O processo de determinar quais dados são necessários para concluir um DSR.
• Acessar. Recuperação e transmissão potencial para o assunto dos dados das informações descobertas.
• Retificar. Implemente alterações ou outros dados pessoais solicitados.
• Restringir. Alterar o acesso ou o processamento de dados pessoais ao restringir o acesso ou remover dados da cloud da Microsoft.
• Exportar. Fornecendo um formato "estruturado, comumente usado, de leitura por máquina" de dados pessoais para o titular de dados, conforme fornecido pelo "direito à portabilidade de dados" do RGPD".
• Delete. Remoção permanente de dados pessoais da nuvem da Microsoft.

Considerações específicas sobre DSR

Ideias geradas por produtos ou serviços da Microsoft

As informações podem ser geradas por serviços (Viva Informações Pessoais, etc.) Office 365 inclui serviços online que fornecem informações aos utilizadores e organizações que as utilizam. Os dados gerados por esses serviços podem produzir dados pessoais relevantes para um DSR. Siga o link na lista abaixo para obter detalhes sobre processos DSR específicos do serviço.

DSRs para logs gerados pelo sistema

Os registos e os dados relacionados gerados pela Microsoft podem conter dados considerados pessoais ao abrigo da definição de "dados pessoais" do RGPD. A restrição ou retificação de dados em registos gerados pelo sistema não é suportada. Dados em logs gerados pelo sistema constituem ações concretas realizadas na nuvem da Microsoft e dados de diagnóstico, e a modificação de tais dados comprometeria o registro histórico de ações e aumentaria os riscos de segurança e fraude. A Microsoft oferece a capacidade de acessar, exportar e excluir registros gerados pelo sistema que podem ser necessários para concluir um DSR. Alguns exemplos de dados podem incluir:

• Dados de uso de produtos e serviços, como os log de atividades do usuário
• Dados de solicitações e consultas de pesquisa do usuário
• Dados gerados por produtos e serviços como resultado da funcionalidade do sistema e da interação de usuários ou de outros sistemas.

Viva Engage

Eliminar a conta de um utilizador não removerá os registos gerados pelo sistema para Viva Engage. Para remover os dados desses aplicativos, confira um dos seguintes recursos:

• Gerir pedidos de titulares de dados do RGPD no Viva Engage

Nuvens nacionais

Em algumas nuvens nacionais, um administrador de TI global precisa excluir os logs gerados pelo sistema.

Serviços da Microsoft

Se a sua organização ou utilizadores interagirem com a Microsoft para receber, o suporte relacionado com produtos e serviços Microsoft alguns destes dados podem conter dados pessoais. Para saber mais informações, confira Solicitações de titulares dos dados ao suporte e aos Serviços profissionais da Microsoft sobre o RGPD.

Produtos do Microsoft Controller

Em algumas circunstâncias, os usuários de sua organização podem acessar produtos ou serviços da Microsoft para os quais a Microsoft é o controlador de dados. Nesses casos, os usuários precisam iniciar seu próprio DSRs diretamente na Microsoft, e a Microsoft preenche as solicitações diretamente para o usuário.

Produtos de terceiros

Para produtos e serviços de terceiros acessados por meio da autenticação de conta da Microsoft, as solicitações de assunto de dados devem ser direcionadas para a terceira parte aplicável.

Ferramentas de administração de Solicitações de Entidades de Dados

• Portais da Microsoft: exporte dados criados ou gerados pelo utilizador com o portal do Microsoft Purview, o portal de conformidade do Microsoft Purview ou com as funcionalidades na aplicação.
• Microsoft Entra Administração Center: elimine um titular de dados de Microsoft Entra ID e serviços relacionados com o Microsoft Entra Administração Center.
• Exportação de Log de Dados da Microsoft: os logs gerados pelo sistema podem ser exportados por administradores de locatários usando a Exportação de Log de Dados da Microsoft.

Saiba mais

• Central de Confiabilidade da Microsoft