Microsoft_365

Microsoft 365 y la Protección de Datos

    Para las empresas la nube de Microsoft 365 se ha convertido en algo imprescindible.


    Hace exactamente un año, en diciembre de 2020, aventuramos un informe meteorológico para la Nube de Microsoft y tuvimos que concluir que las cuestiones legales no resueltas, así como las opiniones incoherentes de diversas autoridades reguladoras, complicaba la decisión a favor o en contra de la migración a la Nube de Microsoft.

    En 2021 se han sopesado sistemáticamente los riesgos, se han revisado las configuraciones y se han tomado decisiones por parte de muchos responsables con respecto a la nube de Microsoft 365. Todos los implicados tienen claro que el cambio a la nube no es sólo cuestión de un breve dictamen del responsable interno de la protección de datos. Los productos y funciones individuales de la nube de Microsoft deben comprobarse en cada caso y de forma individual con respecto a todos los principios de protección de datos del RGPD. Sin duda, vale la pena llevar a su propio responsable de la protección de datos para las configuraciones básicas en las interfaces de administración y hacer que responda a sus preguntas.

    Los usuarios de la nube de Microsoft se han dado cuenta hace tiempo: con el mundo 365, Microsoft persigue un enfoque holístico con el objetivo de trasladar en última instancia la infraestructura de TI de una empresa en su conjunto a la nube. Pronto, todo lo que se necesitará es un dispositivo final, un smartphone y una conexión a Internet, y el resto se encontrará en los paisajes virtuales de los centros de datos de Microsoft.

    La nube de Microsoft: clara ganadora de la pandemia

    Microsoft ha puesto patas arriba el mundo empresarial moderno con sus productos Microsoft 365 Cloud / Azure Cloud y ya ha conseguido convencer a un gran número de usuarios de productos Microsoft on premise para que migren a la nube con atractivas ofertas.

    La nube de Microsoft convence desde hace tiempo no sólo por el ahorro de costes y la seguridad contra fallos. Con MS Teams, Microsoft ha creado una forma completamente nueva de colaboración interna dentro del equipo y también externa con otros usuarios de Microsoft Cloud. La posibilidad de intercambiar a través de Teams ya no es sólo un «nice to have». Las empresas que no pueden comunicarse con sus clientes a través de Teams ya se consideran atrasadas y poco competitivas.

    Especialmente favorable para Microsoft fue la repentina y urgente necesidad de herramientas de colaboración digital para los empleados que, debido a la pandemia, estaban todos trabajando desde sus oficinas en casa a la vez. MS Teams sirve ahora como plataforma para todo tipo de reuniones, charlas sobre adquisiciones, incluso entrevistas de trabajo, y para los más «empedernidos», una sala de Teams sustituye a la agradable charla en la barra del bar.

    Los problemas legales en este caso no sólo se centran en la protección de datos. Incluso ahora, los contratos más grandes se gestionan en un chat de equipo; la comunicación por correo electrónico es simplemente demasiado lenta en comparación.

    Microsoft para los servicios de MS 365 y la protección de datos

    Microsoft ha añadido – obligatoriamente – las nuevas cláusulas estándar de protección de datos de la UE , las cláusulas de protección de datos para los productos y servicios de Microsoft modificada el 15.09.2021. Es más, durante el último año, las propias disposiciones contractuales de Microsoft sobre protección de datos se han ajustado casi mensualmente. Los cambios eran tan frecuentes que la propia Microsoft llegó a confundirse con el versionado. En la versión actual, se han revisado y concretado muchas cláusulas problemáticas.

    ¿Son ahora «legítimos» los propósitos comerciales de Microsoft?

    La parte de las cláusulas que probablemente sea la más importante para los encargados de protección de datos en lo que respecta a la responsabilidad de Microsoft por sus propias actividades comerciales (anteriormente denominadas por MS como «actividades comerciales legítimas») se ha concretado una vez más. Microsoft asume ahora la responsabilidad de los datos de diagnóstico recogidos en los servicios en la nube (a veces también llamados datos de telemetría). Microsoft se posiciona así en el debate jurídico sobre si es posible el tratamiento por encargo y la responsabilidad en la unión personal, o al menos puede representar un conflicto de intereses nada desdeñable.

    Las nuevas cláusulas estándar de protección de datos de la UE

    Como era de esperar, Microsoft ha incluido en las cláusulas estándar de protección de datos de la UE.

    2021/914, que son obligatorias para las transferencias a terceros países desde finales de septiembre de 2021. Más concretamente, se ha incluido el módulo 3 (de procesador a procesador), ya que Microsoft en Europa envía a Microsoft Ireland Ltd. como socio contractual directo para los clientes de la UE – la empresa matriz Microsoft Corporation en los EE.UU., por otro lado, es un subcontratista. Asimismo, las disposiciones contractuales complementarias con las garantías de Microsoft debido a Schrems II, que fueron objeto de nuestro artículo el pasado mes de diciembre, forman ahora parte del APD como Anexo C.

    ¿Dónde está la Evaluación de Impacto de la Transferencia (EIT)?

    Quienes ya hayan estudiado a fondo las nuevas cláusulas estándar de protección de datos de la UE sabrán que exigen a las partes una evaluación de riesgos bastante exhaustiva para las transferencias a terceros países, la llamada Evaluación del Impacto de las Transferencias (EIT). En lugar de ocuparse de los detalles de los intentos de las autoridades estadounidenses de acceder a los datos de los clientes, Microsoft se limita a asegurar el cumplimiento de todos los requisitos del RGPD. El Anexo C de la DPA establece ahora:

    «Microsoft acepta y garantiza que no tiene motivos para creer que las leyes aplicables a Microsoft o a sus subprocesadores, incluso en cualquier país al que Microsoft o sus subprocesadores transfieran Datos Personales, impidan a Microsoft cumplir con las instrucciones recibidas del Exportador de Datos y sus obligaciones en virtud de este Anexo, las Cláusulas Contractuales Tipo de 2010, o las Cláusulas Contractuales Tipo de 2021, y que en el caso de que se produzca cualquier cambio en dichas leyes que pueda tener un efecto material adverso en las declaraciones y obligaciones previstas en este Addendum o en las Cláusulas Contractuales Tipo, Microsoft notificará inmediatamente al Cliente el cambio tan pronto como sea conocido por Microsoft; en cuyo caso el Cliente tendrá derecho a suspender la Transferencia de Datos y/o rescindir el Acuerdo. «

    Sin embargo, todavía no se ha dicho si esta garantía unilateral es la roca sobre la que las empresas pueden construir su nube eclesiástica (Mt 16, 18). Pero, en serio, las recomendaciones del Consejo Europeo de Protección de Datos para una TIA completa y resistente van mucho más allá.

    ¿Había algo más?

    Así es, algunos de ustedes recordarán una experiencia desagradable de la primavera, cuando Microsoft desplegó una actualización de seguridad con bastante retraso debido a una vulnerabilidad de seguridad Hafnium en muchos servidores de Microsoft Exchange que se conocía desde hacía tiempo – desafortunadamente, la vulnerabilidad ya estaba siendo utilizada activamente por los atacantes en ese momento.

    Numerosos administradores fueron sorprendidos aquí con el pie izquierdo y, por lo tanto, muchas empresas se vieron afectadas. Por otro lado, los que ya habían migrado a la versión de Microsoft Cloud de Exchange, que no se vio afectada por esto, tuvieron suerte.

    ¿Microsoft Teams ahora es un servicio de telecomunicaciones?

    Como ya hemos informado, un servicio como Microsoft Teams es susceptible de ser clasificado como un servicio de telecomunicaciones. Esto tendría como consecuencia que Microsoft dejará de ser considerado como un procesador de dichos servicios de telecomunicaciones.

    Outlook

    Microsoft ha ganado claramente la carrera por los servicios en la nube en el sector empresarial y, por tanto, probablemente pueda esperar un regalo especialmente grande bajo el árbol de Navidad. No obstante, las autoridades y los organismos públicos en particular siguen esperando que Microsoft elabore un paquete adecuado para ellos y haga frente a todas las críticas.

    Mientras esto no ocurra, seguiremos necesitando paciencia para que la Nube de Microsoft se vea tan bien como la presenta Microsoft.

    Alisios Consultores le ayuda a una correcta transformación digital.

    Fecha

    Para las empresas la nube de Microsoft 365 se ha convertido en algo imprescindible, pero ¿están cumplendo con la Protección de datos?

    SOLICITE INFORMACIÓN

    NOS PONDREMOS EN CONTACTO EN MENOS DE 24H.

    Más
    artículos

    Alisios Consultores

    Somos líderes en certificación, auditoría y evaluaciones en las áreas de calidad, medioambiente, seguridad alimentaria y salud en el trabajo.

    Certificación de Sistemas

    Cambio Climático - ODS

    Seguridad Alimentaria

    Oficinas en:

    Santa Cruz de Tenerife – Las Palmas de G.C. – Lanzarote – Madrid – Barcelona – Murcia – Zaragoza – País Vasco – Sevilla – Málaga – Valencia –  Mallorca – Salamanca

    ©2004-2025 – ALISIOS CONSULTORES®

    Protección de Datos | ISO 9001 | ISO 14001 | ISO 27001| ISO 45001 | ISO 22000 | Huella de Carbono | ENS | CompliancePlanes de Igualdad

    error: Contenido protegido!!