O que é o Limite de Dados da UE?
Descrição geral do Limite de Dados da UE
O Limite de Dados da UE é um limite geograficamente definido no qual a Microsoft se comprometeu a armazenar e processar Dados do Cliente e dados pessoais para os nossos serviços online empresariais da Microsoft, incluindo o Azure, o Dynamics 365, o Power Platform e o Microsoft 365. Os Dados dos Serviços Profissionais serão armazenados inativos para estes serviços. Estes compromissos estão sujeitos a circunstâncias limitadas em que os Dados do Cliente, os dados pessoais e os Dados dos Serviços Profissionais continuarão a ser transferidos para fora do Limite de Dados da UE. Esta documentação fornece detalhes sobre essas transferências. Os serviços online incluídos no compromisso de Limite de Dados da UE (referidos nesta documentação como Serviços de Limites de Dados da UE) são identificados nos Termos do Produto Microsoft como parte dos contratos de serviços.
Importante
Esta documentação sobre os Limites de Dados da UE reflete o estado atual do Limite de Dados da UE a partir da data de publicação. Conforme indicado em muitos casos nesta documentação, continuamos a implementar mais serviços e capacidades de serviço dentro do Limite de Dados da UE e atualizaremos esta documentação em conformidade e anotaremos a última data atualizada. Última atualização: 26 de fevereiro de 2025.
Dados do Cliente
Conforme definido nos Termos do Produto Microsoft, os Dados do Cliente significam todos os dados, incluindo todos os ficheiros de texto, som, vídeo ou imagem e software, que são fornecidos à Microsoft por ou em nome do Cliente através da utilização do Serviço Online. Os Dados do Cliente não incluem Dados de Serviços Profissionais. Para maior clareza, os Dados do Cliente também não incluem informações utilizadas para configurar recursos nos Serviços Online, como definições técnicas e nomes de recursos.
Dados pessoais em registos gerados pelo sistema
A Microsoft serviços online criar registos gerados pelo sistema como parte do funcionamento regular dos serviços. Estes registos registam continuamente a atividade do sistema ao longo do tempo para permitir que a Microsoft monitorize se os sistemas estão a funcionar conforme esperado. O "registo" (o armazenamento e o processamento de registos) é essencial para identificar, detetar, responder e prevenir problemas operacionais, violações de políticas e atividades fraudulentas; otimizar o desempenho do sistema, da rede e da aplicação; auxiliar em investigações de segurança e atividades de resiliência; e para cumprir as leis e regulamentos. Embora o foco destes registos esteja na forma como os sistemas estão a funcionar e não em utilizadores individuais, quando os eventos nos serviços cloud da Microsoft são iniciados pela interação do utilizador com um serviço cloud, alguns registos que refletem diretamente estes eventos irão, e têm de cumprir os seus objetivos, conter campos que identificam ou identificam pessoas específicas. Estes registos contêm dados pessoais. Exemplos de registos gerados pelo sistema que podem conter dados pessoais incluem:
- Dados de utilização de produtos e serviços, como registos de atividades do utilizador
- Dados gerados especificamente pela interação dos utilizadores com outros sistemas
Pseudonimização em registos gerados pelo sistema
A pseudonimização, conforme definido no RGPD, artigo 4.º(5), é o processamento de dados pessoais para que já não possa ser atribuído a um titular de dados específico sem utilizar informações adicionais. Por outras palavras, utiliza informações pessoais identificáveis num registo de dados e substitui-as por um ou mais identificadores artificiais, ou pseudónimos, protegendo assim a identidade do titular dos dados.
A Microsoft requer que todos os dados pessoais nos registos gerados pelo sistema sejam pseudonimizados. A Microsoft utiliza várias técnicas para pseudonimizar dados pessoais em registos gerados pelo sistema, incluindo encriptação, máscara, tokenização e desfocagem de dados. Independentemente do método específico de pseudonimização, isto protege a privacidade dos utilizadores ao permitir que o pessoal autorizado da Microsoft faça o seu trabalho através de registos que contenham apenas dados pessoais pseudoanonimizados. Isto permite que o nosso pessoal garanta a qualidade, segurança e fiabilidade do nosso serviços online sem identificar ou reidentificar os utilizadores. Por exemplo, isto permite que o pessoal do DevOps identifique a extensão de um problema de serviço entre regiões, incluindo o número de utilizadores afetados em qualquer região, sem que estes funcionários possam identificar ou reidentificar indivíduos específicos. Para obter mais informações sobre o modelo do Microsoft DevOps, veja Acesso remoto aos dados armazenados e processados no Limite de Dados da UE. Em caso de acesso não autorizado a registos gerados pelo sistema, a pseudonimização ajuda a proteger a privacidade dos utilizadores. Os controlos sobre dados que podem permitir a reidentificação de indivíduos a partir de registos pseudoanonimizados são os mesmos que os controlos aplicados aos Dados do Cliente.
Por outro lado, outros métodos de proteção da privacidade dos utilizadores que eliminam dados pessoais, como o anonimização, alterariam permanentemente os dados de forma a não poderem ser utilizados para identificar números exclusivos de eventos ou ocorrências e eliminariam a capacidade de reidentificar indivíduos. Uma vez que os registos gerados pelo sistema contêm informações sobre ações factuais, como o tipo, o conteúdo ou o tempo das transações realizadas na cloud da Microsoft, a anonimização comprometeria o registo histórico de ações, comprometendo a capacidade da Microsoft de garantir a qualidade, fiabilidade e segurança dos nossos serviços.
A Microsoft toma vários passos para limitar o acesso e a utilização de registos gerados pelo sistema. Os controlos de segurança incluem:
- Minimização de dados através da implementação de políticas de retenção definidas no tempo de retenção mínimo necessário para cada tipo de registo.
- Verificações regulares e limpeza de registos gerados pelo sistema para detetar erros ou não conformidade da política.
- Utilização limitada de registos gerados pelo sistema apenas para fins relacionados com operações de serviço.
- Políticas que requerem controlos de acesso que limitam a reidratação ou a reidentificação de dados pessoais de forma a que sejam devolvidos à forma original.
Dados dos Serviços Profissionais
Dados de Serviços Profissionais significa todos os dados, incluindo todo o texto, som, vídeo, ficheiros de imagem ou software, que são fornecidos à Microsoft, por ou em nome de um Cliente (ou que o cliente autoriza a Microsoft a obter a partir de um Produto) ou obtidos ou processados por ou em nome da Microsoft através de um compromisso com a Microsoft para obter Serviços Profissionais.
Serviços Profissionais
Os Serviços Profissionais significam os seguintes serviços: (a) serviços de consultoria da Microsoft, que consistem em planeamento, aconselhamento, orientação, migração de dados, implementação e solução/serviços de desenvolvimento de software fornecidos ao abrigo de uma Ordem de Trabalho do Microsoft Enterprise Services ou, quando acordado na Descrição do Projeto, ao abrigo de um Contrato de Aceleração da Carga de Trabalho na Cloud que incorpora a Adenda de Proteção de Dados (DPA) dos Produtos e Serviços Microsoft por referência; e (b) serviços de suporte técnico fornecidos pela Microsoft que ajudam os clientes a identificar e resolve problemas que afetam Produtos, incluindo suporte técnico fornecido como parte de Suporte Unificado da Microsoft ou Serviços de Suporte Premier, e quaisquer outros serviços de suporte técnico comercial.
Países de Limite de Dados da UE e localizações de datacenters
A Fronteira dos Dados da UE é constituída pelos países da União Europeia (UE) e pela Associação Europeia de Comércio Livre (EFTA). Os países da UE são Áustria, Bélgica, Bulgária, Croácia, Chipre, República Checa, Dinamarca, Estónia, Finlândia, França, Alemanha, Grécia, Hungria, Irlanda, Itália, Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, Portugal, Roménia, Eslováquia, Eslovénia, Espanha e Suécia; e os países da EFTA são o Liechtenstein, a Islândia, a Noruega e a Suíça.
A Fronteira de Dados da UE utiliza ou pode utilizar datacenters da Microsoft anunciados ou atualmente a operar na Áustria, Bélgica, Dinamarca, Finlândia, França, Alemanha, Grécia, Irlanda, Itália, Países Baixos, Noruega, Polónia, Espanha, Suécia e Suíça. No futuro, a Microsoft poderá estabelecer datacenters em países adicionais localizados na UE ou na EFTA para fornecer serviços de limite de dados da UE.
Como configurar serviços para utilização no Limite de Dados da UE
Para os Serviços de Limites de Dados da UE, os Dados do Cliente e os dados pessoais pseudoanonimizados são armazenados e processados e os Dados dos Serviços Profissionais são armazenados inativos, em datacenters localizados em países da UE ou da EFTA. Em alguns casos, os clientes podem selecionar diretamente a região de implementação da UE para Dados do Cliente; noutras, a localização é automaticamente atribuída com base na localização do cliente, no endereço de faturação ou na decisão do cliente de que o respetivo ambiente resida no Limite de Dados da UE.
- Para o Azure, os serviços regionais que um cliente implementa numa região de Limite de Dados da UE estarão no âmbito do Limite de Dados da UE. Para obter mais informações, incluindo detalhes sobre as regiões do Azure na UE e na EFTA, veja Data Residency no Azure. Para serviços não regionais do Azure, veja Configuring Azure non-regional services for the EU Data Boundary (Configurar serviços não regionais do Azure para o Limite de Dados da UE ) para obter detalhes sobre como configurar cada um destes serviços para estarem no âmbito do Limite de Dados da UE. Para armazenar Dados de Serviços Profissionais no Limite de Dados da UE para o Azure, os clientes têm de configurar o Azure Resource Manager para o Limite de Dados da UE. Para obter mais informações, veja Configurar serviços não regionais do Azure para o Limite de Dados da UE.
- Para Dynamics 365 e o Power Platform, a área geográfica (Geo) na qual o inquilino dos serviços de um cliente é alojado é determinada pelo endereço de faturação. Os clientes podem configurar os seus serviços para estarem no âmbito do Limite de Dados da UE ao aprovisionar o seu inquilino e todos os ambientes Dynamics 365 e Power Platform numa Área Geográfica localizada no Limite de Dados da UE. Para obter mais informações, veja Disponibilidade internacional de Dynamics 365 e Criar e gerir ambientes no centro de administração do Power Platform.
- Para o Microsoft 365, os clientes com uma localização de inscrição num país ou região na UE ou EFTA estão no âmbito do Limite de Dados da UE. No entanto, os clientes que compraram Capacidades Multigeográficos não estão no âmbito do Limite de Dados da UE, mesmo que o respetivo inquilino esteja listado como estando num país ou região na UE ou EFTA. Os clientes podem marcar o país ou região do inquilino no Centro de administração do Microsoft 365.