Principales preguntas de privacidad que un cliente debe formular a su proveedor del servicio de nube

Microsoft Office 365 ofrece las características de privacidad más importantes a todos los clientes de Office 365. La finalidad de esta sección consiste en explicar tales características de privacidad y el modo en que estas alcanzan el elevado nivel de privacidad fijado por las autoridades de la UE. El 1 de julio de 2012, el Grupo de trabajo del Artículo 29 de la UE (WP29), conformado por las autoridades nacionales de protección de datos de la Unión Europea, adoptó el dictamen 05/2012 sobre informática en la nube. En este dictamen sobre informática en la nube se destacan las ventajas de la informática en la nube, como su eficacia mejorada y una mayor seguridad. En el dictamen, el WP29 hace hincapié en la importancia que tiene elegir un proveedor de servicio de nube que sea transparente en sus prácticas de protección de datos y que respete la privacidad de los datos de los clientes.
El dictamen de WP29 es guía fundamental tanto para los usuarios de la nube actuales como futuribles. En él se incluyen también una serie de cuestiones que los clientes de la nube, en tanto que controladores de datos, deben plantearse al seleccionar un proveedor de servicio de nube. Aquí detallamos las principales preguntas de privacidad y las respuestas de Office 365.
MostrarOcultar
¿Ofrece el proveedor del servicio de nube información completa y comprensible sobre sus prácticas de seguridad y privacidad en una ubicación central? ¿Aborda esta información aspectos importantes como dónde se almacenan los datos, quién accede a ellos (y en qué circunstancias) y qué subcontratistas participan en su procesamiento?
Referencia del dictamen de WP29: en la sección 4.1 (primer punto del encabezado relativo al cumplimiento de los principios fundamentales de la protección de datos), el WP29 afirma que “los proveedores de servicios de nube tienen el deber de informar a los clientes de la nube sobre todos los aspectos relevantes (sobre la protección de datos) de sus servicios en concreto, los clientes deben estar al tanto de todos los subcontratistas que participen en la prestación del correspondiente servicio de nube y de todas las ubicaciones donde el proveedor del servicio de nube y/o sus subcontratistas puedan almacenar o procesar los datos”. En la sección 3.4.1.1 (sobre transparencia) se incide de nuevo en la importancia de la transparencia en la relación entre el cliente y el proveedor del servicio de nube.
Office 365: Microsoft tiene toda la información sobre sus prácticas de privacidad y seguridad disponible en el Centro de confianza de Office 365. El Centro de confianza de Office 365 contiene información sobre dónde se almacenan los datos, quién accede a ellos (y en qué circunstancias) y qué subcontratistas participan en su procesamiento.
MostrarOcultar
¿Utiliza el proveedor del servicio de nube los datos de los clientes de otras formas y para propósitos distintos a la prestación del servicio? Si así es, ¿para qué propósito en concreto? Por ejemplo, ¿se procesarán los datos de cliente para crear perfiles que se puedan usar en publicidad o con cualquier otro fin comercial? ¿Se revelarán a terceros (que no sean los subcontratistas contemplados o cuando así se requiera por ley)?
Referencia del dictamen de WP29: sección 3.4.1.2 (sobre especificación y limitación de propósitos). El WP29 manifiesta que “los datos personales se deben recabar con los propósitos legítimos y explícitos especificados y no procesarse de forma que sea incompatible con tales propósitos”, y que los clientes de la nube son responsables de “procurar [...] que el proveedor del servicio de nube no procese los datos personales (ilegalmente) con otros fines”.
Office 365: los servicios de nube empresariales de Microsoft emplean los datos de los clientes única y exclusivamente para prestar los servicios. Esto engloba las tareas de solución de problemas dirigidas a evitar, detectar y reparar los problemas que repercuten en el funcionamiento de los servicios, así como la mejora de las características relativas a la detección de amenazas emergentes y en desarrollo (como malware o correo no deseado) y la protección de los usuarios frente a ellas. Office 365 no desarrolla productos publicitarios con los datos de sus clientes. No examinamos sus correos electrónicos o documentos con el ánimo de crear análisis, minería de datos o publicidad, ni de mejorar el servicio.
Microsoft no revelerá los datos de cliente a terceros (incluidas las fuerzas de seguridad, otra entidad gubernamental o litigante civil, y excluyendo a nuestros subcontratistas), salvo cuando así lo requiera el cliente o la ley.
MostrarOcultar
Si el proveedor del servicio de nube presta servicios empresariales y de cliente, ¿combina los datos de clientes empresariales con los datos que recopila de los servicios de cliente? De ser así, ¿de qué forma lo hace y con qué fines?
Referencia del dictamen de WP29: secciones 3.4.1.2 (sobre especificación y limitación de propósitos) y 3.3.1 (sobre clientes de la nube y proveedores de servicios de nube).
Office 365: los servidores de nube empresariales de Microsoft está separados físicamente y/o lógicamente de los servidores destinados a servicios en línea para clientes. Los datos de clientes empresariales, los datos de los servicios en línea para clientes de Microsoft y los datos obtenidos de las actividades de minería de datos, indización y análisis que Microsoft lleva a cabo no se mezclan, a menos que exista una aprobación previa por parte del cliente.
MostrarOcultar
¿Realiza el proveedor del servicio de nube tareas de análisis o minería de datos en el contenido del cliente, como sus documentos o correos electrónicos? Si así es, ¿con qué fines?
Referencia del dictamen de WP29: secciones 3.4.1.2 (sobre especificación y limitación de propósitos) y 3.3.1 (sobre clientes de la nube y proveedores de servicios de nube).
Office 365: Microsoft no examina los correos electrónicos ni los documentos con fines publicitarios. Los servicios empresariales de Microsoft mantienen, examinan e indizan los datos de cliente con objeto de proporcionar a los clientes características enriquecidas que les permitan acceder a los datos y organizarlos. Así, por ejemplo, los usuarios finales pueden buscar sus documentos y demás contenido con total facilidad en Office 365.
MostrarOcultar
Si el proveedor del servicio de nube presta también servicios de cliente, ¿mezclará los datos empresariales con los datos recopilados de los servicios de cliente?
Referencia del dictamen de WP29: sección 3.4.3 (sobre medidas técnicas y organizativas para la protección y seguridad de los datos).
Office 365: el servicio comercial de Office 365 está separado de forma lógica de los servicios en línea para clientes. Los datos de clientes empresariales y los datos en los servicios en línea para clientes de Microsoft no se mezclarán a menos que exista una aprobación previa por parte del cliente.
MostrarOcultar
¿Cuenta el proveedor del servicio de nube con prácticas sólidas de protección de transferencias de datos en la nube?
El WP29 cree que los mecanismos tradicionales de transferencia de datos fuera del Espacio Económico Europeo presentan “limitaciones” cuando se ponen en marcha en la nube. El WP29 destaca las directrices de Safe Harbor y advierte a los clientes de la nube de que “la adherencia a las directrices de Safe Harbor del importador de los datos puede no ser suficiente” para transferir datos a proveedores con sede en EE. UU. De igual modo, el WP29 recuerda a los clientes de la nube la necesidad de garantizar el cumplimiento de las obligaciones legales nacionales que procedan.
Office 365 proporciona un acuerdo de protección de datos integral (DPA) y ofrece las cláusulas modelo de la UE, además de la autocertificación al amparo de los principios Safe Harbor de EE. UU/UE. Mientras que las cláusulas modelo de la UE van dirigidas específicamente a los clientes de la UE, el DPA es un añadido a los procedimientos recomendados de privacidad de diversos países y se ofrece a todos los clientes, independientemente de su situación geográfica o tamaño. Los procesos que Office 365 ha creado para cumplir con las cláusulas modelo de la UE no se limitan exclusivamente a los clientes de la UE, sino que están disponibles para todos los usuarios.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}