Notificación de la vulneración de datos conforme al RGPD

Obtén más información sobre cómo Microsoft detecta y responde a una vulneración de datos personales y te notifica conforme al RGPD.

El RGPD establece requisitos de notificación para los responsables y los encargados en caso de una vulneración de datos personales. La siguiente información describe estas disposiciones: cómo intenta evitar Microsoft las vulneraciones en primer lugar, cómo detecta Microsoft una vulneración y cómo responderá Microsoft en caso de vulneración y te lo notificará como responsable.

Documentación de la vulneración de datos para Online Services

Office 365

Azure

Dynamics 365

Servicios profesionales de Microsoft

Herramientas de administración

Establece el contacto de privacidad de tu organización. Los administradores de inquilinos pueden usar el portal de administración de Azure Active Directory para definir el contacto de privacidad de tu organización en caso de que Microsoft necesite contactar con él.
Establece el contacto de privacidad de tu organización

Preguntas más frecuentes sobre la notificación de la vulneración

A continuación encontrarás preguntas y respuestas importantes sobre la notificación de vulneraciones:
|

Los datos personales son cualquier información relativa a un individuo que puede usarse para identificarlo directa o indirectamente. Una vulneración de datos personales es “una vulneración de seguridad que provoca el acceso, la destrucción, la pérdida, la alteración o la divulgación no autorizada de forma accidental o ilícita de datos personales transmitidos, almacenados o procesados”.

En caso de una vulneración de datos personales que es probable que resulte en un riesgo alto para los derechos y las libertades de los individuos (como discriminación, robo de identidad, fraude, pérdida financiera o daños a su reputación), el RGPD te requiere que:
  • Notifiques a la Autoridad de protección de datos (DPA) correspondiente en 72 horas a partir de que seas consciente de la vulneración, por ejemplo, tras la notificación de Microsoft. Si no se lo notificas a la DPA en ese período de tiempo, será necesario que expliques los motivos a la DPA. Este aviso a la DPA se requiere aunque sea poco probable que el riesgo que existe para los individuos se convierta en un riesgo alto.
  • Notifica a los interesados de la vulneración a su debido tiempo.
  • Documenta la vulneración incluyendo una descripción de la naturaleza de esta (por ejemplo, a cuántas personas afecta, el número de registros de datos afectado, las consecuencias y las acciones para remediarla que proponga o esté llevando a cabo la organización).

Después de ser conscientes de una vulneración de datos personales, el RGPD requiere que te lo notifiquemos a su debido tiempo sin retraso. En los casos en los que Microsoft sea el encargado, nuestras obligaciones serán tanto los requisitos del RGPD como nuestras provisiones contractuales mundiales estándar. Consideramos que todas las vulneraciones de datos personales confirmadas están dentro de nuestro ámbito, no hay riesgo del umbral de daños. Notificaremos a nuestros clientes si Microsoft sufrió directamente la vulneración de datos o fue otro de nuestros subencargados el que la sufrió. Estamos realizando procesos in situ para identificar rápidamente y ponernos en contacto con el personal de incidentes de seguridad que has identificado en la organización. Además, todos los subencargados están obligados contractualmente a informar de sus propias vulneraciones a Microsoft y proporcionar garantías a ese efecto.

Todo nuestro personal y servicios siguen los procedimientos de administración de incidentes internos para garantizar que tomamos las precauciones adecuadas para evitar las vulneraciones de datos antes de nada. No obstante, Online Services tiene controles de seguridad específicos in situ en todas las plataformas para detectar vulneraciones de datos en el caso excepcional que se produzcan.

Para ofrecerte asistencia técnica en el caso de una vulneración de datos personales, Microsoft tiene:
  • Personal de seguridad formado para seguir procedimientos específicos.
  • Tiene directivas, procedimientos y controles in situ para garantizar que Microsoft mantiene registros detallados. Esto incluye documentación que captura los hechos del incidente, sus efectos y la acción para remediarlo, así como información de seguimiento y almacenamiento en nuestros sistemas de administración de incidentes.

Microsoft tiene directivas y procedimientos in situ para notificarte de inmediato. Para cumplir los requisitos de notificación de la DPA, proporcionaremos una descripción del proceso que utilizamos para determinar si se ha producido una vulneración de datos personales, una descripción de la naturaleza de la vulneración y una descripción de las medidas tomadas para mitigarla.