Principais perguntas sobre privacidade que um cliente deve perguntar ao respetivo fornecedor de serviços em nuvem

O Microsoft Office 365 disponibiliza funcionalidades essenciais de privacidade para todos os clientes do Office 365. O objetivo desta secção é descrever essas funcionalidades de privacidade e como estas correspondem aos padrões elevados de privacidade definidos pelas autoridades da UE. Em 1 de julho de 2012, o Article 29 Working Party (WP29) da UE (um grupo criado a partir das autoridades responsáveis pela proteção dos dados) adotou a Opinion 05/2012 on Cloud Computing. O Opinion on Cloud Computing destaca os benefícios da computação em nuvem, incluindo a eficiência melhorada e a maior segurança. No Opinion, o WP29 destaca a importância de escolher um fornecedor de serviços em nuvem que seja transparente sobre as respetivas práticas de proteção de dados e que as mesmas respeitem a privacidade dos dados de cliente.
O WP29 Opinion disponibiliza orientação essencial para os atuais e futuros utilizadores da nuvem. Também levanta uma série de questões que os clientes da nuvem, na sua função de controladores de dados, devem ponderar ao escolher um fornecedor de serviços em nuvem. As principais perguntas sobre privacidade e as respostas do Office 365 são descritas aqui.
MostrarOcultar
O fornecedor de serviços em nuvem oferece informações abrangentes e fáceis de entender sobre as respetivas práticas de privacidade e segurança numa localização central? Estas informações abordam situações importantes tal como onde é que os dados são armazenados, quem tem acesos aos mesmos e em que circunstâncias, e em que medida os subcontratantes estão envolvidos no processamento dos dados?
Referência ao WP29 Opinion: Na secção 4.1 (o primeiro ponto em "Compliance with fundamental data protection principles"[Conformidade com os princípios fundamentais de proteção de dados]), o WP29 indica que "cloud providers should inform cloud clients about all (data protection) relevant aspects of their services…in particular, clients should be informed about all subcontractors contributing to the provision of the respective cloud service and all locations in which data may be stored or processed by the cloud provider and/or its subcontractors." [os fornecedores da nuvem devem informar os clientes da nuvem sobre todos os aspetos relevantes (de proteção de dados) dos seus serviços… em particular, os clientes devem ser informados sobre todos os subcontratantes que contribuem para a disposição do respetivo serviço na nuvem e todas as localizações em que os dados podem ser armazenados ou processados pelo fornecedor da nuvem e/ou pelos respetivos subcontratantes]. A Secção 3.4.1.1 (Transparency) [Transparência] sublinha ainda a importância da transparência da relação entre o fornecedor da nuvem e o cliente da nuvem.
Office 365: a Microsoft disponibiliza prontamente informações sobre as suas práticas de privacidade e segurança no Centro de Confiança do Office 365. O Centro de Confiança do Office 365 contém informações sobre onde estão armazenados os dados, quem pode aceder aos mesmos e em que circunstâncias, e quais os subcontratantes envolvidos no processamento de dados.
MostrarOcultar
O fornecedor de serviços na nuvem utiliza os dados de cliente para qualquer outra finalidade e de qualquer outra forma para além do fornecimento do serviço? Se for o caso, para que finalidades específicas? Por exemplo, os dados de cliente serão processados para criar perfis para serem utilizados em publicidade ou qualquer outra finalidade comercial? Ou divulgados de qualquer forma a terceiros (além dos subcontratantes ou quando obrigados legalmente a tal)?
Referência ao WP29 Opinion: Secção 3.4.1.2 (Purpose specification and limitation) [Especificações e limitações de objetivo]. O WP29 esclarece que "personal data must be collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes"[os dados pessoais têm de ser recolhidos para finalidades especificadas, explícitas e legítimas e não processados de forma incompatível com essas finalidades] e que os clientes da nuvem são responsáveis por "ensure [...] that personal data are not (illegally) processed for further purposes by the cloud provider" [assegurar[...] que os dados pessoais não sejam processados (ilegalmente) para outras finalidades pelo fornecedor da nuvem].
Office 365: os serviços empresariais na nuvem da Microsoft só utilizam os dados de cliente para fornecer os serviços. Isto pode incluir resolução de problemas destinada a evitar, detetar e reparar problemas que afetem o funcionamento dos serviços e a melhoria das funcionalidades que envolvem a deteção, proteção, aparecimento e evolução de ameaças ao utilizador (como software maligno ou spam). O Office 365 não cria produtos publicitários a partir de dados de cliente. Não analisamos as mensagens de e-mail ou documentos para criar análises, datamining, publicidade ou melhorar o serviço de qualquer outra forma.
A Microsoft não divulgará os dados de cliente a terceiros (incluindo pedidos de aplicação da lei, outra entidade governamental ou litigante civil, excluindo os nossos subcontratantes), exceto conforme pedido pelo nosso cliente ou exigido por lei.
MostrarOcultar
Se o fornecedor dos serviços em nuvem oferecer serviços empresariais e de consumo, o fornecedor combina os dados de cliente empresariais com os dados que recolhe dos serviços de consumo? Se sim, de que formas e para que finalidades?
Referência ao WP29 Opinion: Secção 3.4.1.2 (Purpose specification and limitation) [Especificações e limitações de objetivo] e Secção 3.3.1 (Cloud client and cloud provider) [Cliente e fornecedor da nuvem].
Office 365: os servidores empresariais na nuvem da Microsoft estão separados física e/ou logicamente dos servidores dos respetivos serviços de consumo online. Os dados de cliente empresariais, os dados nos serviços de consumo online da Microsoft e os dados criados ou resultantes de atividades de análise, indexação ou datamining da Microsoft são não misturados, exceto se previamente aprovado pelo cliente.
MostrarOcultar
O fornecedor de serviços em nuvem analisa ou utiliza o conteúdo do cliente, tal como comunicações por e-mail ou documentos? Se sim, para que finalidade?
Referência ao WP29 Opinion: Secção 3.4.1.2 (Purpose specification and limitation) [Especificações e limitações de objetivo] e Secção 3.3.1 (Cloud client and cloud provider) [Cliente e fornecedor da nuvem].
Office 365: a Microsoft não analisa mensagens de e-mail ou documentos para publicidade. Os serviços empresariais da Microsoft mantêm, analisam e indexam dados de cliente para fornecer funcionalidades avançadas que permitam aos clientes aceder e organizar os dados de cliente. Por exemplo, os utilizadores finais podem procurar facilmente os seus documentos e outro conteúdo no Office 365.
MostrarOcultar
Se o fornecedor de serviços em nuvem também oferecer serviços de consumo, misturará os dados empresariais e os dados recolhidos desses serviços de consumo?
Referência ao WP29 Opinion: Secção 3.4.3 (Technical and organizational measures of data protection and data security) [Medidas técnicas e organizacionais de proteção e segurança de dados].
Office 365: o serviço comercial Office 365 está logicamente separado dos serviços de consumo online. Os dados de cliente empresariais e os dados nos serviços de consumo online da Microsoft não são misturados, exceto se previamente aprovado pelo cliente.
MostrarOcultar
O fornecedor de serviços em nuvem aplica proteções eficientes de transferências de dados na nuvem?
O WP29 conclui que os mecanismos tradicionais para transferir dados para fora do Espaço Económico Europeu têm "limitações" quando aplicados à nuvem. O WP29 realça as diretrizes de Porto Seguro, aconselhando os clientes da nuvem de que “the sole commitment of the data importer to the Safe Harbor guidelines may not be deemed enough” [o único compromisso do importador de dados relativamente às diretrizes de Porto Seguro pode não ser considerado suficiente] para as transferências de dados para os fornecedores baseados nos EUA. O WP29 também lembra os clientes da nuvem da necessidade de assegurar a conformidade com quaisquer obrigações das leis nacionais que possam ser aplicáveis.
O Office 365 fornece um acordo de proteção de dados (DPA) abrangente e oferece as Cláusulas do Modelo da UE para além da auto-certificação ao abrigo do sistema de Porto Seguro dos EUA-UE. Enquanto as Cláusulas do Modelo da UE foram criadas especificamente para os clientes da UE, o DPA é uma agregação das melhores práticas de privacidade de diferentes países é oferecido a todos os clientes, independentemente da geografia ou da dimensão. Os processos que o Office 365 criou para cumprir as Cláusulas do Modelo da UE não se limitam aos clientes da UE, estando disponíveis para todos os clientes.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}