Saltar al contenido principal
Microsoft 365
Suscríbete

Prepararse para una nueva era de la reglamentación de privacidad con Microsoft Cloud

Por

Microsoft tiene una amplia experiencia en la protección de datos, la defensa de la privacidad y el cumplimiento de reglamentos complejos. Microsoft cumple un conjunto de principios de privacidad y ofrece cláusulas modelo de la UE a todos sus clientes. Creemos que el Reglamento general de protección de datos (RGPD) es un avance importante para aclarar y hacer posibles los derechos de privacidad individuales.

A medida que se aproxima la fecha de aplicación del RGPD, puede que tu organización necesite demostrar pronto que ha tomado los pasos adecuados para proteger los datos personales de sus clientes en respuesta a auditorías regulatorias y solicitudes de información.

Implementar los controles de seguridad adecuados es un paso necesario para demostrar la responsabilidad. También es importante implementar los procesos adecuados (por ejemplo, responder a solicitudes de derechos —DSR— del interesado y proporcionar una notificación de vulneración) para ayudarte a cumplir el RGPD y ganarte la confianza de tus clientes.

Hoy, anunciamos varios recursos y funcionalidades para ayudarte a responder ante las obligaciones del RGPD con Microsoft Cloud. Estas actualizaciones incluyen:

  • Una versión preliminar pública de nuevos recursos de privacidad de Microsoft Cloud.
  • Nuevas funcionalidades para ayudarte con las DSR en los servicios en la nube de Microsoft para el RGPD.
  • Nuevas funcionalidades de administración con acceso privilegiado listas para auditoría en Office 365.
  • Habilitación de un único espacio empresarial de Office 365 para abarcar distintos espacios geográficos de centros de datos de Office 365.

Sigue leyendo para obtener más detalles y otras actualizaciones.

Aumenta tu capacidad de cumplir con las obligaciones del RGPD con el Portal de confianza de servicios

Para admitir el RGPD, hoy anunciamos la versión preliminar pública de los nuevos recursos y herramientas relacionados con el RGPD, incluidas las notificaciones de vulneración y las DSR para Office 365, Dynamics 365, Azure, Windows, Intune y Servicios profesionales en el Portal de confianza de servicios.

Los recursos del RGPD incluyen documentación sobre las notificaciones de vulneración de datos, en la que se describe cuándo y cómo Microsoft te notificará a ti y a otras personas las vulneraciones de datos personales, qué información proporcionará Microsoft y qué herramientas puedes usar para asegurarte de que se les notifica a las personas correctas de tu organización.

Hemos centralizado nuestros recursos de DSR en una única página, que proporciona herramientas de las que puedes sacar provecho en el Centro de seguridad y cumplimiento de Office 365 y el Centro de administración de Azure, junto con documentos para guiarte por el proceso de buscar, exportar y borrar datos de un servicio de Microsoft Cloud.

Visita los recursos de privacidad del Portal de confianza de servicios para obtener más información.

Responder a las DSR en los servicios de Microsoft Cloud

Para admitir las DSR en los servicios de Microsoft Cloud, vamos a implementar varias funcionalidades, incluida una pestaña Privacidad de datos en Office 365, un portal de DSR de Azure y nuevas capacidades de búsqueda de DSR en Dynamics 365.

  • Pestaña Privacidad de datos de Office 365: para ayudarte a administrar tus DSR relacionadas con Office 365 de forma eficaz y eficiente, hemos agregado la pestaña Privacidad de datos (en versión preliminar) al Centro de seguridad y cumplimiento de Office 365. En la pestaña Privacidad de datos, encontrarás una sección dedicada al RGPD, que incluye documentación y recursos para ayudarte en tu experiencia con el RGPD, así como una pestaña dedicada a la ejecución de una DSR.

La nueva experiencia de DSR se ha diseñado con el fin de proporcionarte las herramientas necesarias para crear un caso de una solicitud del interesado, buscar y filtrar por los datos relevantes en ubicaciones de Office 365, como Exchange, SharePoint, OneDrive, Grupos y ahora Microsoft Teams, así como exportar los datos.

Un escenario de DSR que puede encontrarse una organización es cuando un empleado que deja la empresa solicita que se le proporcionen sus datos. Para ayudar en este escenario y otros similares, la característica de retención basada en eventos de Gobierno de datos avanzado ahora cuenta con disponibilidad general para los clientes de Office 365 E5.

Obtén más información sobre la pestaña Privacidad de datos en Office 365 y sobre la retención basada en eventos en Gobierno de datos avanzado en el blog de Tech Community.

Para ver cómo funciona la experiencia de DSR en Office 365, mira este vídeo de Mechanics:

 

  • Portal de DSR de Azure: hemos planeado la publicación de la capacidad de procesar DSR de Azure para antes del 25 de mayo de 2018, la fecha límite de cumplimiento del RGPD. Los administradores de inquilinos de Azure tienen una herramienta simple y eficaz para procesar rápidamente los DSR del RGPD. Usando el portal de DSR de Azure, los administradores de inquilinos pueden identificar información asociada con un usuario y, después, corregir, enmendar, eliminar o exportar los datos del usuario. Los administradores también pueden identificar la información asociada con un sujeto de datos y podrán ejecutar DSR contra registros generados por el sistema (datos que genera Microsoft para proporcionar un servicio determinado).

Portal de DSR de Azure para ayudarte a procesar DSR.

Para obtener más información, visita el blog de Azure.

  • Capacidades de búsqueda de DSR de Dynamics 365: para ayudar a los clientes a responder a DSR en Dynamics 365, vamos a proporcionar dos nuevas funcionalidades: Búsqueda por relevancia y el informe de búsqueda de personas. La búsqueda por relevancia te ofrece una forma rápida y simple de encontrar lo que buscas y cuenta con la tecnología de Azure Search. El informe de búsqueda de personas ofrece un conjunto preestablecido de entidades extensibles, que ha creado Microsoft, para identificar datos personales que se usan para definir a una persona y los roles que puede tener asignados.

Gestionar las vulneraciones de datos bajo los nuevos reglamentos del RGPD

Para el RGPD, las organizaciones deben cumplir requisitos más estrictos en caso de vulneraciones de datos. Esto incluye informar a los reguladores y a aquellas personas afectadas por una vulneración, en general dentro del plazo de las 72 horas posteriores a descubrir la vulneración. Microsoft 365 tiene un conjunto robusto de funcionalidades que puede ayudar a la protección, detección y respuesta ante las vulneraciones de datos. Por ejemplo, Protección contra amenazas avanzada de Office 365 (ATP) protege el ecosistema de Office 365 de una organización ayudando a prevenir que correos electrónicos malintencionados o archivos críticos para la empresa pongan en peligro una cuenta de usuario. ATP de Windows Defender se centra en proteger frente a archivos basados en web malintencionados o malware de dispositivo para evitar que dañen una cuenta de usuario.

Datos adjuntos seguros de ATP bloqueando datos adjuntos malintencionados del correo electrónico.

En caso de que Microsoft identifique una vulneración de datos personales tal como se definen en el RGPD, se lo notificaremos a tu administrador de inquilinos. Además, recomendamos que también designes un alias de contacto de privacidad en Azure Active Directory que recibirá una notificación además de los administradores.

Recopilar, procesar y revisar el consentimiento de los usuarios con Azure Active Directory

Con el RGPD, ahora las compañías necesitan una forma de procesar el consentimiento de un usuario, así como tener una creación de informes listos para auditoría. Con los términos de uso de Azure Active Directory, ahora las organizaciones tienen una forma fácil de recopilar, procesar y revisar el consentimiento de usuario. Puedes requerir a un usuario que vea y dé su consentimiento a los términos de uso de tu organización para que pueda acceder a una aplicación. ​Los términos pueden ser cualquier documento relevante para las directivas legales o los negocios de tu organización.

Ejemplo de términos de uso de Azure Active Directory con varios idiomas.

Para obtener más información, revisa nuestra documentación de los términos de uso de Azure Active Directory.

Aprovechar los controles listos para auditoría para el acceso de administrador con privilegios

Aunque las organizaciones tratan de minimizar el riesgo de las vulneraciones de datos de las amenazas a cuentas con privilegios, también se encuentran con que necesitan responder a reguladores y proporcionar un rastro documentado de acceso con privilegios, lo que perfila el escenario de cómo se acceden a los datos de los clientes. Para ayudar a las organizaciones a proteger sus datos y a responder a estas obligaciones de cumplimiento, hoy introducimos nuevas funcionalidades de gestión de acceso con privilegios en Microsoft 365, que proporcionan controles de acceso listos para auditoría, que tienen una duración específica y para los que se puede limitar el ámbito del acceso a datos.

Con la administración del acceso con privilegios en Office 365, puedes proteger mejor tus datos realizando un seguimiento o aplicando un flujo de trabajo de aprobación adaptado a tus tareas de alto riesgo en Office 365. Por ejemplo, los privilegios de administrador amplios permiten a los administradores ejecutar tareas que pueden proporcionar acceso sin restricciones a datos de la organización, como una regla del diario, que pueden enviar correos electrónicos a un buzón externo y sustraer información confidencial sin ser detectada. La administración del acceso con privilegios en Office 365 te permite aplicar directivas de privacidad que requieren aprobación antes de que cualquier persona pueda ejecutar estas tareas de alto riesgo. Las solicitudes de acceso pueden aprobarse de forma automática o manual, y toda esta actividad se registra y es auditable. Mira este vídeo para obtener más información:

Estamos entusiasmados con la implementación de la versión preliminar pública de la administración del acceso con privilegios en Office 365. Para empezar, visita la página Versiones preliminares de Office (escribe el código PAM044) y, después, lee el blog detallado de Tech Community.

Satisfacer los requisitos de residencia de datos globales

Cada vez más a menudo los gobiernos, los reguladores de terceros y los requisitos de cumplimiento corporativo están promulgando guías de residencia de datos para abordar problemas de privacidad. Estas guías restringen la libre circulación de información entre fronteras y requieren que los datos de las organizaciones se almacenen en zonas geográficas definidas. Mientras que el RGPD no exige la residencia de datos, muchos clientes nos dicen que necesitan la flexibilidad de almacenar sus datos en zonas geográficas elegidas para cumplir requisitos de residencia de datos regionales, específicos del sector u organizativos.

Multi-Geo Capabilities permite a un único espacio empresarial de Office 365 abarcar varias zonas geográficas de centros de datos de Office 365 y les da a los clientes la capacidad de almacenar datos de Office 365 en reposo, por empleado y en sus zonas geográficas elegidas. Multi-Geo se ha lanzado para Exchange Online y OneDrive para la Empresa. Para obtener más información, lee “Obtener controles de ubicación de datos globales con Multi-Geo Capabilities en Office 365”.

Iniciar hoy el viaje hacia el cumplimiento del reglamento RGPD con Microsoft Cloud

No importa en qué punto te encuentres en tus esfuerzos del RGPD, estamos aquí para ayudarte en el cumplimiento del RGPD y tenemos varios recursos disponibles para que empieces hoy mismo:

Obtén más información sobre cómo Microsoft puede ayudarte a prepararte para el RGPD.

—Alym Rayani, director de Microsoft 365