Principais perguntas de privacidade que um cliente deve perguntar ao fornecedor da nuvem

O Microsoft Office 365 fornece funcionalidades de privacidade essenciais a todos os clientes do Office 365. O objetivo desta secção é descrever estas funcionalidades de privacidade e como cumprem os elevados padrões de privacidade definidos pelas autoridades da UE. A 1 de julho de 2012, o Article 29 Working Party (WP29) da UE — grupo constituído pelas autoridades de proteção de dados nacionais da União Europeia — adotou o Opinion 05/2012 on Cloud Computing. O Opinion on Cloud Computing realça os benefícios da informática em nuvem, incluindo a eficiência melhorada e maior segurança. No Opinion, o WP29 destaca a importância de escolher um fornecedor de serviços na nuvem transparente sobre as suas práticas de proteção de dados e que respeite a privacidade dos dados de cliente.

O WP29 Opinion fornece orientação essencial para utilizadores atuais e futuros da nuvem. Também coloca várias perguntas que os clientes da nuvem, na sua função de controladores de dados, devem considerar quando selecionarem um fornecedor de nuvem. As principais perguntas de privacidade e as respostas do Office 365 são descritas aqui.

Referência ao WP29 Opinion: Na Secção 4.1 (a primeira marca de lista no cabeçalho “Conformidade com os princípios de proteção de dados fundamentais”), o WP29 indica que “os fornecedores da nuvem devem informar os clientes da nuvem sobre todos os aspetos relevantes (de proteção de dados) dos seus serviços… em particular, os clientes devem ser informados sobre todos os subcontratantes que contribuem para a disposição do respetivo serviço na nuvem e todas as localizações em que os dados podem ser armazenados ou processados pelo fornecedor da nuvem e/ou pelos respetivos subcontratantes.” A Secção 3.4.1.1 (Transparência) sublinha ainda a importância da transparência da relação entre o fornecedor da nuvem e o cliente da nuvem.

Office 365: a Microsoft disponibiliza prontamente informações sobre as suas práticas de privacidade e segurança no Centro de Fidedignidade do Office 365. O Centro de Fidedignidade do Office 365 contém informações sobre onde estão armazenados os dados, quem pode aceder aos mesmos e em que circunstâncias, e quais os subcontratantes envolvidos no processamento de dados.
Referência ao WP29 Opinion: Secção 3.4.1.2 (Especificações e limitações de objetivo). O WP29 esclarece que “os dados pessoais têm de ser recolhidos para finalidades especificadas, explícitas e legítimas e não processados de forma incompatível com essas finalidades” e que os clientes da nuvem são responsáveis por “assegurar[] que os dados pessoais não sejam processados (ilegalmente) para outras finalidades pelo fornecedor da nuvem”.

Office 365: os serviços empresariais na nuvem da Microsoft só utilizam os dados de cliente para fornecer os serviços. Isto pode incluir resolução de problemas destinada a evitar, detetar e reparar problemas que afetem o funcionamento dos serviços e o melhoramento de funcionalidades que envolvem a deteção, proteção, aparecimento e evolução de ameaças ao utilizador (como software maligno ou spam). O Office 365 não cria produtos publicitários a partir dos dados de cliente. Não analisamos as mensagens de e-mail ou documentos para criar análises, datamining, publicidade ou melhorar o serviço de qualquer outra forma.

A Microsoft não divulgará os dados de cliente a terceiros (incluindo pedidos de aplicação da lei, outra entidade governamental ou litigante civil, excluindo os nossos subcontratantes), exceto conforme pedido pelo nosso cliente ou requerido por lei.
Referência ao WP29 Opinion: Secção 3.4.1.2 (Especificações e limitações de objetivo) e Secção 3.3.1 (Cliente e fornecedor da nuvem).

Office 365: os servidores empresariais na nuvem da Microsoft estão separados física e/ou logicamente dos servidores dos respetivos serviços de consumo online. Os dados de cliente empresariais, os dados nos serviços de consumo online da Microsoft e os dados criados ou resultantes de atividades de análise, indexação ou datamining da Microsoft são não misturados, exceto se previamente aprovado pelo cliente.
Referência ao WP29 Opinion: Secção 3.4.1.2 (Especificações e limitações de objetivo) e Secção 3.3.1 (Cliente e fornecedor da nuvem).

Office 365: a Microsoft não analisa mensagens de e-mail ou documentos para publicidade. Os serviços empresariais da Microsoft mantêm, analisam e indexam dados de cliente para fornecer funcionalidades avançadas que permitam aos clientes aceder e organizar os dados de cliente. Por exemplo, os utilizadores finais podem procurar facilmente os seus documentos e outro conteúdo no Office 365.
Referência ao WP29 Opinion: Secção 3.4.3 (Medidas técnicas e organizacionais de proteção e segurança de dados).

Office 365: o serviço comercial Office 365 está logicamente separado dos serviços de consumo online. Os dados de cliente empresariais e os dados nos serviços de consumo online da Microsoft não são misturados, exceto se previamente aprovado pelo cliente.
O WP29 conclui que os mecanismos tradicionais para transferir dados fora do Espaço Económico Europeu têm “limitações” quando aplicados à nuvem. O WP29 realça as diretrizes de Porto Seguro, aconselhando os clientes da nuvem de que “o único compromisso do importador de dados relativamente às diretrizes de Porto Seguro pode não ser considerado suficiente” para as transferências de dados para os fornecedores baseados nos E.U.A.. O WP29 também lembra os clientes da nuvem da necessidade de assegurar a conformidade com quaisquer obrigações das leis nacionais que possam ser aplicáveis.

O Office 365 fornece um acordo de proteção de dados (DPA) abrangente e oferece as Cláusulas do Modelo da UE para além da auto-certificação ao abrigo do sistema de Porto Seguro dos EUA-UE. Enquanto as Cláusulas do Modelo da UE foram criadas especificamente para os clientes da UE, o DPA é uma agregação das melhores práticas de privacidade de diferentes países é oferecido a todos os clientes, independentemente da geografia ou da dimensão. Os processos que o Office 365 criou para cumprir as Cláusulas do Modelo da UE não se limitam aos clientes da UE, estando disponíveis para todos os clientes.