Principales preguntas sobre privacidad que el cliente debe formular al proveedor de servicios en la nube

Microsoft Office 365 ofrece características de privacidad esenciales a todos los clientes de Office 365. En esta sección se describen estas características de privacidad y se explica cómo cumplen con las estrictas normas de privacidad establecidas por las autoridades de la UE. El 1 de julio de 2012, el Grupo de Trabajo del Artículo 29 de la UE (GT 29), un grupo constituido por las autoridades de protección de datos nacionales de la Unión Europea, adoptó el Dictamen 05/2012 sobre informática en nube. Este dictamen destaca las ventajas de la informática en nube, incluidas las mejoras en eficiencia y seguridad. En el dictamen, el GT 29 subraya la importancia de elegir un proveedor de servicios en la nube que sea transparente con las prácticas que adopta en materia de protección de datos y que respete la privacidad de los datos de los clientes.

El dictamen del GT 29 ofrece una guía esencial a usuarios actuales y potenciales. También plantea una serie de preguntas que los clientes de la nube, como controladores de datos, deben tener en cuenta al elegir al proveedor de servicios en la nube. Aquí se incluyen las preguntas clave sobre privacidad y las respuestas de Office 365.

Referencia del dictamen del GT 29: en la sección 4.1 (la primera viñeta del encabezado "Cumplimiento de los principios fundamentales de protección de datos"), el GT 29 señala que "los proveedores deberán informar a los clientes acerca de todos los aspectos pertinentes (sobre protección de datos) de sus servicios. En particular, deberá informarse a los clientes acerca de todos los subcontratistas que contribuyan a la prestación de los respectivos servicios en nube y de todos los lugares donde los datos puedan ser almacenados o tratados por el proveedor o sus subcontratistas". En la sección 3.4.1.1 (Transparencia) se vuelve a subrayar la importancia de la transparencia en la relación entre el proveedor y el cliente de servicios en la nube.

Office 365: la información de Microsoft relativa a sus prácticas de privacidad y seguridad está disponible en el Centro de confianza de Office 365 (www.microsoft.com/en-us/office365/trust-center.aspx). El Centro de confianza de Office 365 contiene información sobre dónde se almacenan los datos, quién puede acceder a ellos y en qué circunstancias, y qué subcontratistas participan en el procesamiento de los datos.
Referencia del dictamen del GT 29: sección 3.4.1.2 (Especificación y limitación de la finalidad). El GT 29 exige que "los datos personales sean recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines" y señala que los clientes de servicios en la nube son los responsables de "garantizar que el proveedor [...] no trate[...] (ilegalmente) los datos personales para otros fines".

Office 365: los servicios en la nube empresariales de Microsoft solo usan los datos de los clientes para prestar los servicios. Esto puede incluir la solución de problemas destinada a prevenir, detectar y reparar fallos que repercutan en el funcionamiento de los servicios y la mejora de las características que permiten detectar y proteger frente a amenazas al usuario emergentes o en evolución (como el malware o el correo no deseado). Office 365 no crea productos publicitarios con los datos de los clientes. No examinamos los correos ni los documentos para elaborar análisis, extraer datos, hacer publicidad ni mejorar el servicio.

Microsoft no difundirá datos de clientes a terceros (incluidos los organismos encargados de la aplicación de la ley, otras entidades gubernamentales o demandantes civiles y excluyendo a nuestros subcontratistas) salvo por petición del cliente u obligación legal.
Referencia del dictamen del GT 29: sección 3.4.1.2 (Especificación y limitación de la finalidad) y sección 3.3.1 (Clientes y proveedores de servicios de computación en la nube).

Office 365: los servidores empresariales en la nube de Microsoft están física y/o lógicamente separados de los servidores destinados a los servicios al consumidor en línea. Los datos empresariales de los clientes, los datos existentes en los servicios al consumidor en línea de Microsoft y los datos creados en, o resultantes de, las actividades de exploración, indización o extracción de datos llevadas a cabo por Microsoft no se mezclan a menos que el cliente lo haya autorizado previamente.
Referencia del dictamen del GT 29: sección 3.4.1.2 (Especificación y limitación de la finalidad) y sección 3.3.1 (Clientes y proveedores de servicios de computación en la nube).

Office 365: Microsoft no examina correos ni documentos con fines publicitarios. Los servicios empresariales de Microsoft mantienen, examinan e indizan los datos de los clientes para ofrecer características útiles que permiten a los clientes acceder y organizar los datos de cliente. Por ejemplo, los usuarios finales pueden buscar fácilmente sus documentos y otro contenido en Office 365.
Referencia del dictamen del GT 29: sección 3.4.3 (Medidas técnicas y de organización para garantizar la protección de los datos y su seguridad).

Office 365: el servicio comercial de Office 365 está separado lógicamente de los servicios al consumidor en línea. Los datos empresariales de los clientes y los datos existentes en los servicios al consumidor en línea de Microsoft no se mezclan a menos que el cliente lo haya autorizado previamente.
El GT 29 concluye señalando que los mecanismos tradicionales para transferir datos fuera del Espacio Económico Europeo tienen "limitaciones" cuando se aplican a la nube. El Grupo apunta a las directrices de puerto seguro (Safe Harbor) y avisa a los clientes de que "el único compromiso del importador de datos con las directrices de puerto seguro puede no ser suficiente" para las transferencias de datos a proveedores con sede en EE. UU. También recuerda a los clientes en la nube la necesidad de garantizar el cumplimiento con las obligaciones legales nacionales que resulten de aplicación.

Office 365 cuenta con un acuerdo de protección de datos (DPA) completo y, además de la autocertificación dentro del marco Safe Harbor establecido entre los EE. UU. y la UE, también ofrece las Cláusulas modelo de la UE. Mientras que estas se refieren concretamente a los clientes de la UE, el DPA es un conjunto de procedimientos recomendados de privacidad de distintos países y se ofrece a todos los clientes independientemente de su ubicación y tamaño. Los procesos que Office 365 ha diseñado para cumplir con las Cláusulas modelo de la UE no se restringen a los clientes de la UE, sino que están disponibles para todos los clientes.