Principais perguntas que um cliente deveria fazer ao provedor de nuvem

O Microsoft Office 365 fornece recursos de privacidade essenciais para todos os clientes do Office 365. Esta seção tem o objetivo de descrever esses recursos de privacidade e como eles atendem aos altos padrões de privacidade definidos pelas autoridades da UE. Em 1 de julho de 2012, o Grupo de Trabalho Artigo 29 (WP29 – Article 29 Working Party) – um grupo formado por autoridades de proteção de dados nacionais da União Europeia – adotou o Parecer 05/2012 sobre Computação em Nuvem. O Parecer sobre Computação em Nuvem destaca os benefícios da computação em nuvem, incluindo a eficiência aprimorada e a maior segurança. No Parecer, o WP29 enfatiza a importância de escolher um provedor de serviços em nuvem que seja transparente com relação às práticas de proteção de dados e que respeite os dados dos clientes.

O Parecer do WP29 fornece orientações essenciais para usuários da nuvem atuais e em potencial. Isso também levanta uma série de questões que os clientes da nuvem, em sua função de controladores de dados, devem considerar ao escolherem um provedor de nuvem. As principais perguntas sobre privacidade e as respostas do Office 365 estão descritas aqui.

Referência do Parecer do WP29: Na Seção 4.1 (o primeiro marcador sob o título “Cumprimento dos princípios fundamentais da proteção de dados”), o WP29 estabelece que “os prestadores de serviços de computação em nuvem devem informar os seus clientes de todos os aspectos relevantes (relativos a proteção de dados) dos seus serviços… Os clientes devem, em especial, ser informados sobre todos os subcontratantes que contribuem para a prestação dos serviços de computação em nuvem e sobre todos os locais em que os dados podem ser armazenados ou tratados pelo prestador de serviços e/ou pelos seus subcontratantes”. Na Seção 3.4.1.1 (Transparência) se ressalta a importância da transparência na relação entre o cliente da nuvem e o provedor de nuvem.

Office 365: as informações sobre as práticas de privacidade e segurança da Microsoft estão disponíveis para leitura na Central de Confiabilidade do Office 365. A Central de Confiabilidade do Office 365 contém informações sobre onde os dados estão armazenados, quem os acessa e sob quais circinstâncias eles são acessados, bem como quais subcontratados estão envolvidos no processamento dos dados.
Referência do WP29: Seção 3.4.1.2 (Especificação e limitação da finalidade). O WP29 deixa claro que “os dados pessoais devem ser coletados para finalidades especificadas, explícitas e legítimas e que não serão posteriormente tratados de forma incompatível com essas finalidades” e que os clientes da nuvem são responsáveis por “assegurar que os dados pessoais não sejam tratados (ilicitamente) para outras finalidades pelo prestador de serviços de computação em nuvem.”

Office 365: Os serviços de nuvem para empresas prestados pela Microsoft usam os dados do cliente somente para fornecer os serviços. Isso pode incluir a solução de problemas no intuito de prevenir, detectar e reparar problemas que afetam a operação dos serviços e a melhoria dos recursos que envolvem a detecção e a proteção contra perigos aos usuários que venham a surgir ou que estejam ocorrendo (como malware ou spam). O Office 365 não cria produtos publicitários com os dados dos clientes. Não fazemos varredura de emails ou documentos para realizar análises, mineração de dados, publicidade ou para aperfeiçoar o serviço.

A Microsoft não divulgará os dados do cliente a terceiros ( incluindo representantes legais, outras entidades governamentais ou litígio civil, excluindo nossos subcontratados) exceto se solicitado pelo cliente ou exigido por lei.
Referência do Parecer WP29: Seção 3.4.1.2 (Especificação e limitação da finalidade) e Seção 3.3.1 (Cliente do serviço de computação em nuvem e prestador do serviço de computação em nuvem).

Office 365: Os servidores de nuvem para empresas são fisicamente e/ou logicamente separados dos servidores de serviços online para consumidores. Os dados do cliente corporativo, os dados nos serviços online para consumidores da Microsoft e os dados criados por/resultante de atividades de varredura, indexação ou mineração de dados realizadas pela Microsoft não são combinados, exceto se aprovado pelo cliente com antecedência.
Referência do Parecer do WP29: Seção 3.4.1.2 (Especificação e limitação da finalidade) e Seção 3.3.1 (Cliente do serviço de computação em nuvem e prestador do serviço de computação em nuvem).

Office 365: A Microsoft não faz varreduras de emails ou documentos para fins publicitários. Os serviços para empresas da Microsoft mantêm, fazem varredura e indexação de dados do cliente a fim de fornecer recursos avançados que permitem que os clientes acessem e organizem seus dados. Por exemplo, os usuários finais podem facilmente pesquisar os próprios documentos e outros conteúdos no Office 365.
Referência do Parecer do WP29: Seção 3.4.3 (Medidas técnicas e organizativas relativas à proteção e segurança dos dados).

Office 365: O serviço comercial do Office 365 é logicamente separado dos serviços online para consumidores. Os dados do cliente corporativo e os dados dos serviços online para consumidores da Microsoft não são combinados, exceto se aprovado pelo cliente com antecedência.
O WP29 conclui que os mecanismos tradicionais para a transferência de dados para fora da Área Econômica Europeia têm "limitações" quando aplicados à nuvem. O WP29 destaca a Diretiva Safe Harbor e avisa aos clientes da nuvem que "apenas o compromisso do importador dos dados com a Diretiva Safe Harbor pode não ser considerado suficiente" para transferências de dados para provedores baseados nos EUA. O WP29 ainda recorda aos clientes de nuvem a necessidade de assegurar a conformidade com todas as obrigações de leis nacionais que sejam aplicáveis.

O Office 365 fornece um abrangente Contrato de Proteção de Dados (DPA) e oferece as Cláusulas do Modelo da UE, além da autocertificação de acordo com a Diretiva Safe Harbor para EUA e UE. Enquanto as Cláusulas do Modelo da UE são especificamente criadas para clientes da UE, o DPA é um agregado das melhores práticas de privacidade de vários países, sendo oferecido a todos os clientes, independentemente da localização geográfica ou do tamanho. Os processos que o Office 365 criou para cumprir com as Cláusulas do Modelo da UE não são restritos a clientes da UE, estando disponíveis para todos os clientes.