Perguntas frequentes sobre RGPD

Para ajudar você e sua organização em sua jornada do RGPD, compilamos uma lista de perguntas frequentes e, acima de tudo, suas respostas.


|

Sim. O RGPD exige que os controladores (como organizações que usam os serviços online corporativos da Microsoft) usem apenas processadores (como a Microsoft) que forneçam garantias suficientes ao atendimento das principais exigências do RGPD. A Microsoft tomou a iniciativa de se comprometer com todos os clientes de Licenciamento por Volume como parte de seus acordos.

 

Encontre os compromissos contratuais da Microsoft com relação ao RGPD nos acordos do Cliente na página Visão geral do RGPD.

 

A Microsoft fornece as ferramentas e a documentação para dar suporte à sua responsabilidade com o RGPD. Isso inclui suporte para Direitos do Titular dos Dados, execução de suas próprias Avaliações do Impacto da Proteção de Dados e trabalho em conjunto para solucionar violações de dados pessoais. Visite a página de Visão Geral do RGPD.

 

Os Termos do RGPD da Microsoft refletem os compromissos exigidos pelos processadores no Artigo 28. O Artigo 28 exige que os processadores se comprometam a:

  • Usar os subprocessadores apenas com o consentimento do controlador e a permanecerem confiáveis para os subprocessadores.
  • Processar dados pessoais somente mediante instruções do controlador, incluindo com relação a transferências.
  • Garantir que as pessoas que processam dados pessoais estejam comprometidas com a confidencialidade.
  • Implementar medidas técnicas e organizacionais apropriadas a fim de assegurar um nível de segurança dos dados pessoais compatível com o risco.
  • Auxiliar os controladores em suas obrigações de responder às solicitações do titular dos dados no exercício de seus direitos sob o RGPD.
  • Atender aos requisitos de notificação e assistência contra violações.
  • Auxiliar os controladores com avaliações do impacto da proteção de dados e com a consulta às autoridades de supervisão.
  • Excluir ou retornar dados pessoais ao final da provisão dos serviços.
  • Dar suporte ao controlador com evidências de conformidade com o RGPD.

 

 

A Microsoft já usa há algum tempo as Cláusulas Contratuais Padrão (também conhecidas como Cláusulas Modelo) como base para a transferência de dados de seus serviços online corporativos. As Cláusulas Contratuais Padrão são termos padrão fornecidos pela Comissão Europeia que podem ser usados para transferir dados para fora da Área Econômica Europeia respeitando a conformidade. A Microsoft incorporou as Cláusulas Contratuais Padrão em todos os acordos de licenciamento por volume por meio dos Termos de Serviços Online. O Grupo de Trabalho do Artigo 29 indicou especificamente que a implementação da Microsoft das Cláusulas Contratuais Padrão está em conformidade.

 

E quando a Defesa de Privacidade UE-EUA ficou disponível, a Microsoft foi a primeira empresa a se certificar. Confira Certificação da Microsoft à Defesa de Privacidade e leia a Termos dos Serviços Online. A Defesa de Privacidade UE-EUA ajuda os clientes que querem transferir seus dados para os EUA a fazerem isso de maneira consistente com suas obrigações de proteção de dados.

 

Como empresa global, com clientes em praticamente todos os países do mundo, a Microsoft tem um portfólio robusto de conformidade para ajudar nossos clientes. Para ver uma lista completa de nossas ofertas de conformidade, incluindo FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud e muitas outras, visite nossa lista de oferta de conformidade.

|

 

Para encontrar informações sobre recursos nos serviços da Microsoft usados para atender aos requisitos do RGPD, confira www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

O RGPD impõe muitos requisitos sobre as organizações que coletam ou processam dados pessoais, incluindo um requisito para atender a seis princípios importantes:

  • Transparência, justiça e legalidade no manuseio e uso de dados pessoais. Você precisa ser claro com as pessoas sobre o modo de uso dos dados pessoais e também precisará de uma "base jurídica" para processar os dados.
  • Limitar o processamento de dados pessoais a fins especificados, explícitos e legítimos. Você não poderá reutilizar ou divulgar dados pessoais para fins não "compatíveis" com o objetivo para o qual os dados foram originalmente coletados.
  • Minimizar a coleta e o armazenamento de dados pessoais ao que for adequado e relevante para o objetivo pretendido.
  • Garantir a precisão dos dados pessoais e permitir o apagamento ou correção. Você precisará tomar precauções para garantir que os dados pessoais armazenados sejam precisos e possam ser corrigidos, caso ocorra algum erro.
  • Limitar o armazenamento dos dados pessoais. Você precisa ter certeza de que reterá os dados pessoais apenas enquanto eles forem necessários para cumprir o objetivo para o qual foram coletados.
  • Garantir a segurança, a integridade e a confidencialidade dos dados pessoais. Sua organização precisa agir para proteger os dados pessoais por meio de medidas de segurança técnicas e organizacionais.

Você precisará entender as obrigações específicas da sua organização com o RGPD, e como às atenderá, embora a Microsoft esteja disponível para te ajudar em sua jornada do RGPD.

Para saber mais sobre a RGPD (Regulamento Geral sobre a Proteção de Dados), visite www.microsoft.com/gdpr . Nela, você também poderá saber mais sobre como produtos específicos da Microsoft podem te ajudar na preparação para a conformidade com o RGPD. Confira as seções sobre Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 e Windows 10.

O RGPD fornece aos residentes da UE controle sobre seus dados pessoais por meio de um conjunto de "direitos do titular dos dados". Isso inclui o direito de:

  • Acessar informações sobre como os dados pessoais serão usados.
  • Acessar dados pessoais mantidos por uma organização.
  • Excluir ou corrigir dados pessoais incorretos.
  • Corrigir ou apagar dados pessoais em certas circunstâncias (às vezes chamadas de "direito ao esquecimento").
  • Restringir ou opor-se ao processamento automatizado de dados pessoais.
  • Receber uma cópia dos dados pessoais.

Um controlador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, individualmente ou em conjunto com outras pessoas, determina a finalidade e os meios de processamento de dados pessoais. Um processador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador.

Sim, o RGPD se aplica aos controladores e processadores. Os controladores devem usar processadores que tomam precauções para atender aos requisitos do RGPD.

 

Sob o RGPD, os processadores encaram deveres e responsabilidades adicionais pela não conformidade, ou por agirem fora das instruções fornecidas pelo controlador, em comparação com a Diretiva de Proteção de Dados. Os deveres do processador incluem, mas sem limitação:

  • Processar os dados apenas conforme instrução do controlador.
  • Usar medidas técnicas e organizacionais apropriadas para proteger dados pessoais.
  • Auxiliar o controlador com solicitações do titular dos dados.
  • Assegurar que os subprocessadores envolvidos atendam aos requisitos.

As empresas podem ser multadas em até 20 milhões de euros ou 4% do faturamento global anual, o que for maior, pela falha em não atender a certos requisitos de RGPD. Outras correções individuais podem aumentar o risco se você não atender aos requisitos de RGPD.

Depende de vários fatores identificados no regulamento. O Artigo 37 do RGPD afirma que os controladores e os processadores devem indicar um responsável pela proteção dos dados quando: (a) o processamento for executado por uma autoridade ou órgão público, com exceção de tribunais exercendo sua função judicial; (b) as principais atividades do controlador ou do processador envolverem operações de processamento que, devido à natureza, ao escopo e/ou aos fins, exijam um monitoramento regular e sistemático dos titulares dos dados em larga escala; ou (c) as principais atividades do controlador ou do processador envolverem o processamento em larga escala de categorias especiais de dados, de acordo com o Artigo 9, e de dados pessoais relacionados a condenações criminais citadas no Artigo 10.

Estar em conformidade com o RGPD custará tempo e dinheiro para a maioria das organizações, embora possa ser algo tranquilo para as empresas que estiverem operando em um modelo de serviços de nuvem bem arquitetado e com um programa de controle de dados efetivo.

|

O RGPD regula a coleta, armazenamento, uso e compartilhamento de "dados pessoais". A definição de dados pessoais é bem ampla no RGPD, assim como quaisquer dados relacionados a uma pessoa física identificável ou não.

 

Os dados pessoais podem incluir, mas sem limitação, identificadores online (por exemplo, endereços IP), informações de funcionários, bancos de dados de vendas, dados de atendimento ao cliente, formulários de comentários do cliente, dados de local, dados biométricos, filmagem em CFTV, registros de esquema de fidelidade, informações de saúde e financeiras e muito mais. Pode até incluir informações que não parecem pessoais, como uma fotografia de uma paisagem sem pessoais, mas que são vinculadas por um número de conta ou código exclusivo a um indivíduo identificável. Até dados pessoais que receberam um pseudônimo podem ser considerados dados pessoais se for possível vincular o pseudônimo e um indivíduo específico.

 

Saiba também que o processamento de certas categorias "especiais" de dados pessoais, como aqueles que revelam a raça ou origem étnica de uma pessoa, ou que digam respeito à saúde ou orientação sexual, está sujeito a regras mais rígidas do que o processamento de dados pessoais "comuns".

 

Essa avaliação de dados pessoais é altamente conectada aos fatos, por isso recomendamos que envolva um especialista para avaliar suas circunstâncias específicas.

Sim. Embora as regras variem um pouco, o RGPD se aplica às organizações que coletam e processam os dados para seus próprios fins ("controladores"), e também às organizações que processam dados em nome de outros ("processadores"). Isso é uma mudança com relação à Diretiva de Proteção dos Dados existente, que se aplica aos controladores.

Os dados pessoais são quaisquer informações relacionadas a uma pessoa, identificável ou não. Não há distinção entre as funções pública, privada ou corporativa de uma pessoa. Os dados pessoais podem incluir:

 

Os exemplos de dados pessoais incluem:

 

Identidade

  • Nome
  • Endereço residencial
  • Endereço comercial
  • Telefone
  • Celular
  • Endereço de email
  • Número do passaporte
  • RG
  • CPF (ou equivalente)
  • Habilitação
  • Informações físicas, fisiológicas ou genéticas
  • Informações médicas
  • Identidade cultural

Finanças

  • Detalhes bancários/números de conta
  • Número de contribuinte
  • Endereço comercial
  • Números de cartão de crédito/débito
  • Postagens em mídia social

Artefatos online

  • Postagens em mídia social
  • Endereço IP (região da UE)
  • Dados de localização/GPS
  • Cookies

Sim, no entanto, o RGPD regula com rigidez as transferências de dados pessoais de residentes europeus para destinos fora da Área Econômica Europeia. Talvez seja necessário configurar um mecanismo jurídico específico, como um contrato, ou aderir a um mecanismo de certificação para permitir essas transferências. A Microsoft detalha os mecanismos usados nos Termos de Serviços Online.

Quando houver base legítima para retenção e processamento contínuo de dados, por exemplo, "para conformidade com uma obrigação jurídica que exige o processamento de acordo com a lei da União ou do Estado Membro a qual o controlador está sujeito” (Article 17(3)(b)), o RGPD reconhece que talvez as organizações precisem reter dados. No entanto, é melhor envolver o departamento jurídico para ter certeza de que a base para retenção foi ponderada com base nos direitos e liberdades dos titulares dos dados, suas expectativas no momento da coleta dos dados etc.

A criptografia é identificada no RGPD como uma medida de proteção que torna os dados pessoais incompreensíveis quando eles são afetados por uma violação. Portanto, o uso ou não uso da criptografia pode afetar os requisitos de notificação de uma violação de dados pessoais. O RGPD também aponta a criptografia como uma técnica ou medida organizacional apropriada em alguns casos, dependendo do risco. A criptografia também é um requisito no Padrão de Segurança de Dados do Setor de Cartões de Pagamento e faz parte das diretrizes rigorosas de conformidade específicas ao setor de serviços financeiros. Produtos e serviços da Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Banco de Dados SQL do Azure e Windows 10 oferecem uma criptografia robusta para dados em trânsito e em repouso.

 

Para saber mais sobre como os produtos e serviços da Microsoft podem ajudar você a se preparar para estar em conformidade com o RGPD, confira como nossos produtos ajudam você a atender aos requisitos de RGPD.

O RGPD mudará os requisitos de proteção de dados e gerará obrigações mais rígidas para processadores e controladores com relação ao aviso sobre violação de dados pessoais. Sob a nova regulação, o processador deverá notificar o controlador de dados sobre uma violação de dados pessoais, após tomar conhecimento dela, sem qualquer atraso. Assim que tomar conhecimento de uma violação de dados pessoais, o controlador deverá notificar a autoridade de proteção de dados relevante em até 72 horas. Se houver a probabilidade da violação resultar em alto risco aos direitos e liberdades de indivíduos, os controladores também precisarão notificar os indivíduos afetados sem qualquer atraso. O Grupo de Trabalho do Artigo 29 da UE está desenvolvendo mais orientação sobre esse tópico.

 

Os produtos e serviços da Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 e Windows 10, têm soluções disponíveis para ajudar você a detectar e avaliar ameaças e violações de segurança e atender às obrigações de notificação de violação do RGPD.

|

O Microsoft FastTrack é um benefício*, nosso serviço de sucesso do cliente, que tem como objetivo ajudar as empresas a obterem valor em seus negócios mais rápido com o Microsoft Cloud. O FastTrack ajuda a:

  • Migrar email, conteúdo e facilitar os serviços do Microsoft 365.
  • Implantar e gerenciar com segurança os dispositivos.
  • Capacitar sua empresa e conquistar a adoção do usuário final.

O Microsoft FastTrack é um benefício contínuo e repetível, disponível para clientes e fornecido por engenheiros e especialistas da Microsoft para ajudar os clientes ou parceiros a planejar, integrar e gerar a adoção/uso, e ajudar com a mudança para a nuvem com confiança e no ritmo dos clientes e parceiros.

 

À medida que ajudamos clientes com implantações e migrações específicas aos nossos Serviços Online, o Microsoft FastTrack se compromete em atender ao RGPD no momento da aplicação a partir de 25 de maio de 2018. Como parte do benefício de serviço profissional do FastTrack, também trabalhamos com os parceiros atuais do cliente ou indicamos Parceiros para fornecer assistência de implantação e adoção.

 

Confira https://FastTrack.Microsoft.com para saber mais.

 

*O "benefício de serviço" é considerado um "serviço profissional", conforme definido por nosso OST e MBSA.

Os engenheiros e especialistas do FastTrack são especialistas do setor em planejamento para os cenários e valores comerciais pretendidos pelos clientes ou parceiros, e estão focados no planejamento, implantação e adoção dos produtos e serviços a fim de ajudar os clientes ou parceiros a alcançar esses objetivos. Saiba mais sobre como os produtos e serviços da Microsoft dão suporte à sua conformidade com o RGPD por meio de nosso site da Central de Confiabilidade. Incentivamos nossos clientes e parceiros a trabalharem com um(a) profissional legalmente qualificado(a) para discutir RGPD, como isso se aplica especificamente à organização e como garantir a conformidade.

Orientamos que nossos clientes devem trabalhar com as próprias equipes jurídicas e de conformidade para determinar os requisitos de criptografia do RGPD e requisitos gerais de RGPD. A conformidade com RGPD é específica aos dados coletados de um cliente, cenários de uso e setores ou vetores industriais.

O Microsoft FastTrack é um serviço de sucesso do cliente comprometido em fornecer implantações mais rápidas, ROI e maior adoção por parte de seus funcionários ou usuários finais dos produtos e serviços da Microsoft. Com isso em mente, à medida que os clientes ou parceiros enviam uma solicitação de assistência por meio do Microsoft FastTrack, começaremos nosso processo apropriado de implantação de produtos e serviços da Microsoft para nossos clientes ou parceiros.

 

Como parte do nosso benefício de serviço profissional do FastTrack, também trabalhamos com os parceiros atuais do cliente ou indicamos Parceiros para fornecer assistência de implantação e adoção. Saiba mais sobre os Parceiros especializados em RGPD que estão disponíveis para ajudar os Parceiros da Microsoft com relação à conformidade, conforme descrito na página de RGPD da Central de Confiabilidade aqui. Confira nossa página Web de Nuvem Confiável/RGPD para avaliar sua aderência ao RGPD e como você pode acelerar a conformidade com o RGPD usando o Microsoft Cloud, e usar o Microsoft FastTrack para obter assistência com a implantação.


Recursos adicionais

Encontre um parceiro

Deixe um dos nossos parceiros globais atender às suas necessidades de RGPD com suas soluções baseadas na Microsoft.

Práticas de privacidade da Microsoft

Saiba como a Microsoft gerencia seus dados, onde eles estão, quem pode acessá-los, os termos e muito mais.

A Defesa de Privacidade UE-EUA

Saiba como a Microsoft segue os princípios da estrutura da Defesa de Privacidade UE-EUA.

Notificação de violação de dados

Como a Microsoft detecta e responde a uma violação de dados pessoais, e envia uma notificação de acordo com o RGPD.