Consiga otra victoria para la protección de datos europea: Microsoft tiene Anunciado cambios en los contratos comerciales en la nube debido a preocupaciones de privacidad planteadas por las autoridades de protección de datos de la Unión Europea.
Los cambios a los términos de contacto se aplicarán globalmente y a todos sus clientes comerciales, ya sean entidades del sector público o privado, o grandes o pequeñas empresas, dijo hoy.
Las nuevas disposiciones contractuales se ofrecerán a todos los clientes del sector público y de las empresas a principios de 2020, agrega.
En octubre
Escribiendo en su Blog de política de la UE, Julie Brill, vicepresidenta corporativa de Microsoft para asuntos de regulación y privacidad global y directora de privacidad, anuncia la actualización de las disposiciones de privacidad en los Términos de servicios en línea (OST) de sus contratos comerciales en la nube, diciendo que está haciendo los cambios como resultado de "comentarios que hemos tenido noticias de nuestros clientes ".
"Los cambios que estamos realizando proporcionarán más transparencia a nuestros clientes sobre el procesamiento de datos en la nube de Microsoft", escribe.
También dice que los cambios reflejan aquellos desarrollados por Microsoft en consulta con el Ministerio de Justicia y Seguridad holandés, que comprendía tanto términos contractuales modificados como salvaguardas y configuraciones técnicas, después de que este último llevó a cabo evaluaciones de riesgo del OST de Microsoft a principios de este año y también planteó preocupaciones.
Específicamente, Microsoft está aceptando mayores responsabilidades de protección de datos para el procesamiento adicional involucrado en la provisión de servicios empresariales, tales como administración de cuentas e informes financieros, por Brill:
A través de la actualización OST que anunciamos hoy, aumentaremos nuestras responsabilidades de protección de datos para un subconjunto de procesamiento en el que Microsoft participa cuando brindamos servicios empresariales. En la actualización de OST, aclararemos que Microsoft asume el papel de controlador de datos cuando procesamos datos para fines administrativos y operativos específicos relacionados con la prestación de los servicios en la nube cubiertos por este marco contractual, como Azure, Office 365, Dynamics e Intune. Este subconjunto de procesamiento de datos sirve para fines administrativos u operativos, como la administración de cuentas; informes financieros; combatir los ataques cibernéticos en cualquier producto o servicio de Microsoft; y cumplir con nuestras obligaciones legales.
Microsoft actualmente se designa a sí mismo como un procesador de datos, en lugar de un controlador de datos para estas funciones administrativas y de operaciones que pueden vincularse a la provisión de servicios comerciales en la nube, como su plataforma Azure.
Pero bajo la protección de datos generales de Europa marco de referencia un controlador de datos tiene las obligaciones más amplias en relación con el manejo de datos personales, con responsabilidad bajo el Artículo 5 del RGPD por la legalidad, imparcialidad y seguridad de los datos que se procesan, y, por lo tanto, también un mayor riesgo legal si no cumple con el estándar.
Por lo tanto, desde un punto de vista regulatorio, la actual estructura del contrato comercial de Microsoft plantea un riesgo para las instituciones de la UE de que los datos de los usuarios terminen siendo procesados bajo un estándar de protección legal más bajo de lo que se merece.
El cambio anunciado del procesador de datos al controlador debería elevar el nivel de los propósitos asociados que Microsoft también puede proporcionar a los clientes comerciales de sus servicios en la nube.
Para este último propósito, Microsoft dice que seguirá siendo el procesador de datos, así como para mejorar y abordar errores u otros problemas relacionados con el servicio, garantizar la seguridad de los servicios y mantener los servicios actualizados.
En agosto, una conferencia organizada conjuntamente por el supervisor de protección de datos de la UE y el Ministerio holandés reunió a clientes de la UE de gigantes de la nube para trabajar en una respuesta conjunta a los riesgos regulatorios relacionados con la provisión de software en la nube.
A principios de este año, el Ministerio holandés obtuvo cambios contractuales y garantías técnicas y configuraciones en los contratos modificados que acordó con Microsoft.
"Las únicas diferencias sustantivas en los términos actualizados (que se implementarán globalmente para todos los clientes de la nube comercial) se relacionan con los cambios específicos del cliente solicitados por el MOJ holandés, que tuvieron que adaptarse para una base de clientes global más amplia", escribe Brill ahora.
La publicación del blog de Microsoft también señala otros cambios relacionados con la privacidad global que, según dice, se hicieron después de los comentarios del Ministerio de Justicia holandés y otros, incluido un despliegue de nuevas herramientas de privacidad en los principales servicios; cambios específicos a Office 365 ProPlus; y mayor transparencia con respecto al uso de datos de diagnóstico.