Preguntas más frecuentes sobre el RGPD

Para ayudarte a ti y a tu organización en el proceso de cumplimiento del RGPD, recopilamos una lista de las preguntas más frecuentes y, lo que es más importante, de sus respuestas.


|

Sí. El RGPD exige que los responsables (como las organizaciones que usan los servicios empresariales online de Microsoft) solo utilicen encargados (como Microsoft) que ofrezcan garantías suficientes para cumplir con los requisitos clave del RGPD. Microsoft dio un paso proactivo al proporcionar estos compromisos a todos los clientes de licencias por volumen como parte de sus acuerdos.

 

Puedes encontrar los compromisos contractuales de Microsoft con respecto al RGPD en la sección "Acuerdos con el cliente" de la página de información general del RGPD.

 

Microsoft proporciona herramientas y documentación para ayudarte en tu responsabilidad del RGPD. Esto incluye asistencia para responder a las solicitudes de derechos de los interesados, para realizar tus propias evaluaciones de impacto relativas a la protección de datos y trabajar juntos para corregir las vulneraciones de datos personales. Visita la página de información general del RGPD.

 

Los términos del RGPD de Microsoft reflejan los compromisos exigidos a los encargados de datos en el Artículo 28. Este artículo exige que los encargados se comprometan a:

  • Usar únicamente subencargados con el consentimiento del responsable y seguir respondiendo por ellos.
  • Procesar los datos personales solo según las instrucciones del responsable, incluso con respecto a las transferencias de datos.
  • Garantizar que las personas que procesan datos personales están comprometidas con la confidencialidad.
  • Implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad de los datos personales acorde al riesgo.
  • Ayudar a los responsables en sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos según el RGPD.
  • Cumplir los requisitos de notificación de vulneraciones y de asistencia.
  • Ayudar a los responsables con las evaluaciones de impacto relativas a la protección de datos y con las consultas a las autoridades de supervisión.
  • Eliminar o devolver los datos personales al final de la prestación de los servicios.
  • Ayudar al responsable con pruebas de cumplimiento del RGPD.

 

 

Microsoft usó durante mucho tiempo las cláusulas contractuales estándares (también conocidas como cláusulas modelo) como base para la transferencia de datos en sus servicios empresariales online. Las cláusulas contractuales estándares son términos estándar proporcionados por la Comisión Europea que pueden usarse para transferir datos fuera del Espacio Económico Europeo en cumplimiento con la normativa. Microsoft incorporó las cláusulas contractuales estándares en todos nuestros contratos de licencias por volumen a través de los términos de Online Services. El Grupo de Trabajo del Artículo 29 determinó específicamente que la implementación por parte de Microsoft de las cláusulas contractuales estándares cumple la normativa.

 

Y cuando el Escudo de la privacidad UE-EE. UU. estuvo disponible, Microsoft fue la primera empresa en obtener la certificación. Consulta la Certificación de Microsoft para el Escudo de la privacidad y lee los términos de Online Services. El Escudo de la privacidad UE-EE. UU. ayuda a los clientes que desean transferir sus datos a Estados Unidos a hacerlo de una manera coherente con sus obligaciones de protección de datos.

 

Como empresa global con clientes en casi todos los países del mundo, Microsoft cuenta con una sólida cartera de cumplimiento para ayudar a nuestros clientes. Para ver un listado completo de nuestras ofertas de cumplimiento, que incluyen FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud y muchas otras, consulta nuestra lista de ofertas de cumplimiento.

|

 

Para obtener más información sobre las funcionalidades de los servicios Microsoft usadas para abordar los requisitos del RGPD, visita www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

El RGPD impone una amplia variedad de requisitos a las organizaciones que recopilan o procesan datos personales, incluido el requisito de cumplir seis principios clave:

  • Transparencia, imparcialidad y legalidad en la administración y el uso de datos personales. Deberás ser claro con los individuos acerca de cómo estás usando los datos personales y también necesitarás una "base legal" para procesar esos datos.
  • Limitar el procesamiento de datos personales a fines específicos, explícitos y legítimos. No podrás reutilizar o divulgar datos personales para fines que no sean "compatibles" con el propósito para el que se recopilaron originalmente.
  • Minimizar la recopilación y el almacenamiento de datos personales a lo que sea adecuado y relevante para el propósito previsto.
  • Garantizar la exactitud de los datos personales y permitir su eliminación o rectificación. Deberás tomar medidas para asegurarte de que los datos personales que posees son precisos y pueden corregirse si se producen errores.
  • Limitar el almacenamiento de datos personales. Deberás asegurarte de conservar los datos personales solo durante el tiempo que sea necesario para lograr los fines para los que se recopilaron.
  • Garantizar la seguridad, integridad y confidencialidad de los datos personales. Tu organización debe tomar medidas de seguridad técnicas y organizativas para proteger los datos personales.

Deberás comprender cuáles son las obligaciones específicas de tu organización con respecto al RGPD y cómo las cumplirás, aunque Microsoft está aquí para ayudarte en tu proceso de cumplimiento del RGPD.

Para obtener más información acerca del Reglamento general de protección de datos (RGPD), visita www.microsoft.com/gdpr, donde también puedes obtener más información sobre cómo pueden ayudarte ciertos productos de Microsoft a prepararte para cumplir con el RGPD. Consulta las secciones sobre Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10.

El RGPD proporciona a los residentes de la UE el control sobre sus datos personales mediante un conjunto de "derechos de los interesados". Esto incluye los derechos a:

  • Obtener acceso a la información sobre cómo se utilizan los datos personales.
  • Obtener acceso a los datos personales en poder de una organización.
  • Eliminar o corregir los datos personales incorrectos.
  • Rectificar o suprimir los datos personales en ciertas circunstancias (a veces se denomina "derecho al olvido").
  • Restringir el procesamiento automatizado de los datos personales u oponerse a él.
  • Recibir una copia de los datos personales.

Un responsable es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que, solo o junto con otros, determina los medios de procesamiento de los datos personales y sus fines. Un encargado es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que procesa datos personales en nombre del responsable.

Sí, el RGPD se aplica tanto a los responsables como a los encargados. Los responsables solo deben usar subencargados que tomen medidas para cumplir los requisitos del RGPD.

 

Según el RGPD, los encargados se enfrentan a obligaciones y responsabilidades adicionales por el incumplimiento, o por actuar al margen, de las instrucciones proporcionadas por el responsable, de acuerdo con la Directiva de protección de la información. Los deberes del encargado son, entre otros, los siguientes:

  • Procesar datos solo según las instrucciones del responsable.
  • Usar las medidas técnicas y organizativas adecuadas para proteger los datos personales.
  • Ayudar al responsable con las solicitudes de los interesados.
  • Asegurarse de que los subencargados implicados cumplen estos requisitos.

Las empresas pueden recibir multas de hasta 20 millones de euros o del 4% de su facturación global anual, lo que sea mayor, por no cumplir ciertos requisitos del RGPD. Los recursos judiciales adicionales de los individuos podrían aumentar tu riesgo si no cumples los requisitos del RGPD.

Depende de varios factores identificados dentro del reglamento. El Artículo 37 del RGPD establece que los responsables y los encargados designarán a un delegado de protección de datos en caso de que: (a) el procesamiento lo realice una autoridad o un organismo público, a excepción de los tribunales que actúen en su capacidad judicial; (b) las actividades principales del responsable o del encargado consistan en operaciones de procesamiento que, en virtud de su naturaleza, su alcance y/o sus propósitos, requieran una supervisión frecuente y sistemática de los interesados a gran escala; o (c) las actividades principales del responsable o del encargado consistan en el procesamiento a gran escala de categorías especiales de datos en conformidad con el Artículo 9 y de datos personales relacionados con las condenas y delitos penales a los que se hace referencia en el Artículo 10.

Cumplir con el RGPD costará tiempo y dinero a la mayoría de las organizaciones, aunque puede ser una transición más suave para aquellas que operan en un modelo de servicios en la nube bien estructurado y que cuentan con un programa eficaz de gobierno de datos.

|

El RGPD regula la recopilación, el almacenamiento, el uso y el intercambio de "datos personales". Los datos personales se definen en términos generales en el RGPD como cualquier información relacionada con una persona física identificada o identificable.

 

Los datos personales pueden incluir, entre otros, identificadores online (como direcciones IP), información de empleados, bases de datos de ventas, datos de servicios al cliente, formularios de comentarios de los clientes, datos de ubicación, datos biométricos, imágenes de CCTV, información médica y financiera, y mucho más. Pueden incluir hasta información que no parece ser personal, como una foto de un paisaje sin personas, pero que está vinculada mediante un número de cuenta o un código único a una persona identificable. Incluso los datos personales que se seudonimizaron pueden ser datos personales si el seudónimo se puede vincular a una persona en concreto.

 

También debes tener en cuenta que el procesamiento de ciertas categorías "especiales" de datos personales, como los datos personales que revelan el origen racial o étnico de una persona, o que se refieren a su salud u orientación sexual, está sujeto a normas más estrictas que el procesamiento de datos personales "ordinarios".

 

Esta evaluación de datos personales depende mucho de cada caso, por lo que te recomendamos contratar a un experto para que evalúe tus circunstancias específicas.

Sí. Aunque las normas difieren un poco, el RGPD se aplica a las organizaciones que recopilan y procesan datos para sus propios fines ("responsables"), así como a las organizaciones que procesan datos en nombre de otros ("encargados"). Se trata de una modificación de la Directiva de protección de la información existente, que se aplica a los responsables.

Los datos personales son cualquier información relacionada con una persona identificada o identificable. No hay distinción entre los roles privados, públicos o laborales de una persona. Los datos personales pueden incluir:

 

Los ejemplos de datos personales incluyen:

 

Identidad

  • Nombre
  • Dirección del domicilio
  • Dirección del trabajo
  • Número de teléfono
  • Número de celular
  • Dirección de correo
  • Número de pasaporte
  • Documento de identificación nacional
  • Número de la Seguridad Social (o equivalente)
  • Licencia de conducir
  • Información física, psicológica o genética
  • Información médica
  • Identidad cultural

Finanzas

  • Información bancaria y números de cuentas
  • Número de identificación fiscal
  • Dirección del trabajo
  • Números de tarjetas de crédito y débito
  • Publicaciones de las redes sociales

Artefactos online

  • Publicaciones de las redes sociales
  • Dirección IP (región de la UE)
  • Datos de ubicación y GPS
  • Cookies

Sí, pero el RGPD regula estrictamente las transferencias de datos personales de residentes europeos a destinos fuera del Espacio Económico Europeo. Es posible que debas establecer un mecanismo legal específico, como un contrato, o adherirte a un mecanismo de certificación para poder realizar estas transferencias. Microsoft detalla los mecanismos que utilizamos en los términos de Online Services.

Cuando existen motivos legítimos para continuar con el procesamiento y la retención de datos, por ejemplo, "para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento" (Artículo 17 (3) (b)), el RGPD reconoce que puede que las organizaciones necesiten retener datos. Sin embargo, debes asegurarte de consultar a tu asesor legal para garantizar que los motivos de la retención cumplen los derechos y libertades de los interesados, sus expectativas en el momento en que se recopilaron los datos, etc.

El cifrado se identifica en el RGPD como una medida de protección que hace que los datos personales sean ininteligibles cuando se ven afectados por una vulneración. Por lo tanto, si se utiliza o no el cifrado puede afectar a los requisitos de notificación de una vulneración de datos personales. El RGPD también identifica el cifrado como una medida técnica u organizativa apropiada en algunos casos, en función del riesgo. Además, el cifrado es un requisito de las Normas de seguridad de datos de la industria de tarjetas de pago y parte de las estrictas pautas de cumplimiento específicas de la industria de servicios financieros. Los productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server, Azure SQL Database y Windows 10, ofrecen un cifrado sólido para los datos en tránsito y en reposo.

 

Para obtener más información sobre cómo pueden ayudarte los productos y servicios de Microsoft a prepararte para cumplir con el RGPD, consulta cómo te ayudan nuestros productos a cumplir los requisitos del RGPD.

El RGPD cambiará los requisitos de protección de datos y establecerá obligaciones más estrictas para los encargados y los responsables con respecto a la notificación de vulneraciones de datos personales. Según el nuevo reglamento, el encargado debe notificar al responsable del tratamiento de los datos de una vulneración de datos personales, después de conocer su existencia, sin demora indebida. Una vez que tenga conocimiento de una vulneración de datos personales, el responsable debe notificar a la autoridad de protección de datos relevante en un plazo de 72 horas. Si es probable que la vulneración conlleve un alto riesgo para los derechos y libertades de los individuos, los responsables también deberán notificar a las personas afectadas sin demora indebida. El Grupo de Trabajo del Artículo 29 de la UE está desarrollando una guía adicional sobre este tema.

 

Los productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10, tienen soluciones disponibles para ayudarte a detectar y evaluar amenazas y vulneraciones de seguridad, y para ayudarte a cumplir las obligaciones de notificación de vulneraciones del RGPD.

|

Microsoft FastTrack es un beneficio de servicio*, nuestro servicio de consecución del cliente para ayudar a las empresas a obtener valor empresarial más rápido con Microsoft Cloud. FastTrack te ayuda a:

  • Migrar el correo electrónico, el contenido e integrar los servicios de Microsoft 365.
  • Implementar y administrar de forma segura los dispositivos.
  • Preparar a tu empresa y lograr la adopción del usuario final.

Microsoft FastTrack es un beneficio de servicio continuo y repetible, disponible para los clientes, que proporcionan los ingenieros y especialistas de Microsoft para ayudar a los clientes o partners a planificar, incorporar e impulsar la adopción y el uso, y para ayudarles a migrar a la nube con confianza y a su propio ritmo.

 

Mientras ayudamos a los clientes con implementaciones específicas y con la migración a Online Services, Microsoft FastTrack se compromete a cumplir con el RGPD para cuando entre en vigor el 25 de mayo de 2018. Como parte del beneficio de servicio profesional de FastTrack, también trabajamos con el partner (o los partners) de nuestro cliente, o le recomendamos un partner para que le ayude en su proceso de implementación y adopción.

 

Para obtener más información, consulta https://FastTrack.Microsoft.com.

 

* Un "beneficio de servicio" se considera un "servicio profesional", tal como lo definen nuestros términos de Online Services y MBSA.

Los ingenieros y especialistas de FastTrack son expertos del sector en planificar los escenarios y el valor empresarial que desean lograr los clientes o partners, y se centran en la planificación, implementación y adopción de los productos y servicios para ayudarles a alcanzar estos objetivos. Obtén más información sobre cómo te ayudan en tu cumplimiento con el RGPD los productos y servicios de Microsoft a través de nuestro sitio web del Centro de confianza. Alentamos a nuestros clientes y partners a trabajar con un profesional legalmente cualificado para analizar el RGPD, cómo se aplica concretamente a su organización y cuál es la mejor manera de garantizar el cumplimiento.

Recomendamos a nuestros clientes que trabajen con sus propios equipos legales y de cumplimiento para determinar sus requisitos generales, y sus requisitos específicos en cuanto al cifrado, del RGPD. El cumplimiento del RGPD varía en función de los datos recopilados de un cliente, los escenarios de uso y los sectores o vectores de la industria.

Microsoft FastTrack es un servicio de consecución del cliente comprometido a proporcionar implementaciones y ROI más rápidas, y una mayor adopción para tus empleados o para los usuarios finales de los productos y servicios de Microsoft. Con esto en mente, cuando los clientes o partners envíen una solicitud de asistencia a través de Microsoft FastTrack, comenzaremos nuestro proceso para implementar adecuadamente los productos y servicios de Microsoft para ellos.

 

Como parte de nuestro beneficio de servicio profesional de FastTrack, también trabajamos con el partner (o los partners) de nuestro cliente, o le recomendamos un partner para que le ayude en su proceso de implementación y adopción. Puedes obtener más información sobre los partners especializados en el RGPD que están disponibles para ayudar a los partners de Microsoft a alcanzar el cumplimiento, tal como se describe en la página sobre el RGPD del Centro de confianza, aquí. Puedes consultar nuestra página web sobre la nube de confianza y el RGPD para evaluar tu preparación para el RGPD y para descubrir cómo puedes acelerar su cumplimiento con Microsoft Cloud y usar Microsoft FastTrack para obtener asistencia en la implementación.


Recursos adicionales

Graphic icon of two people with a plus sign representing partnerships

Buscar un partner

Aborda tus necesidades en cuanto al RGPD con uno de nuestros partners globales que ofrecen soluciones basadas en Microsoft.

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

Prácticas de privacidad de Microsoft

Descubre cómo administra Microsoft tus datos, dónde están ubicados, quién tiene acceso a ellos, los términos y mucho más.

Graphic icon of a shield with an exclamation point in the middle

El Escudo de la privacidad UE-EE. UU.

Conoce cómo se adhiere Microsoft a los principios del marco del Escudo de la privacidad UE-EE. UU.

Graphic icon representing an unlocked padlock with a white circle in the middle

Notificación de la vulneración de datos

Cómo detecta Microsoft una vulneración de datos personales, cómo responde a ella y cómo te notifica conforme al RGPD.