La nube corporativa de Microsoft:cumplimiento LOPD

Asier CrespoLegal & Corporate Affairs

Foro Universidades 2014Madrid, 10 de junioBarcelona, 17 de junio

Por qué cumplir la LOPDes importante para los clientes

Text/Icon/PicText/

€Derecho fundamentalAfecta a la intimidad y privacidad de personasProtegido por la Constitución, LOPD y Código penal

Sanciones elevadaMultas de hasta 600.000 euros

Bloqueo del usoPotestad de las autoridades: paralizar el uso de un fichero

Riesgo reputacionalPublicidad de las resoluciones sancionadorasSensibilidad de la prensa ante estos asuntos

La AEPD otorga autorización a Microsoft en

favor de clientes corporativo de O365, CRM

Online y Azure

La AEPD ha analizado los contratos de Microsoft,

a solicitud de nuestra compañía, y declara

formalmente:

• Los contratos de Microsoft ofrecen a los

clientes garantías adecuadas para

proporcionar datos personales a Microsoft en

el marco del servicio cloud.

• Los clientes que firmen nuestros contratos —

incluido un nuevo acuerdo suplementario—

quedan autorizados para la exportación de

datos en el servicio cloud, previa notificación a

la Agencia. De este modo, quedan exentos de

solicitar autorizaciones individuales.

— Resolución de la AEPD, 09.05.2014

Unión Europea

Las autoridades aprecianlas diferencias

España

Validación de las Agencias Europeas de

Protección de Datos

El Grupo de Trabajo del Artículo 29 (formado por

las Agencias Europeas de Protección de Datos)

ha analizado nuestro Acuerdo de tratamiento

de datos y lo declara alineado con la Decisión

2010/87/EU de la Comisión Europea de 5 de

febrero de 2010, que aprueba las Cláusulas

Contractuales Tipo (EU Model Clauses).

— Comunicación del Grupo de Trabajo del

Artículo 29 dirigida a Microsoft, 02.04.2014.

TransparenciaPrivacy by Design Compromiso

Putting People First

Por qué los clientes nos eligenRespetamos nuestros respectivos roles

Sin usos secundariosSin publicidad

Microsoft no utiliza los datos para fines propios

Sin screeningSin data mining

En otro caso….

Microsoft se convertiría en responsable

Véase Opinión Jurídica 0179/2010 de la AEPD

Riesgo de cesión ilegal

Medidasde seguridad

Controla a lossubcontratistas

Sigueinstrucciones

Microsoft es un encargado del tratamiento

Ejercitaderechos ARCO

Determinala finalidad

Obtieneconsentimientos

El Cliente es el responsable del fichero

Compromisos por contrato

Compromiso de cumplir todas las leyes aplicables sobre protección de datos

Incluir todas las menciones legales: art. 12 LOPD Seguir las instrucciones del Cliente Tratamiento sólo para prestar el servicio No entregar los datos, ni siquiera para conservación,

a ningún tercero, excepto subcontratistas Finalizado el servicio, extracción y borrado

Enumeración de las medidas de seguridad

Auditoría independiente: ISO 27001

Listado de subcontratistas

Transferencias internacionales Safe Harbor Cláusulas Contractuales Tipo de la Unión Europea

Text/Icon/PicText/

Text/

Transferencias: Safe Harbor y Cláusulas Contractuales TipoDos modos de amparar transferencias internacionales, pero con sus diferencias

Cláusulas C. Tipo

Modelo europeo

Safe Harbor

2001.

Aprobado hace más de una décadaAutocertificación

7.Principios básicosModelo mixto

Cumplimiento exigible por Cliente

2010.

Aprobación más moderna

Clausuladocompleto y firmado

Los Clientes lo aprecian

Primeros y únicosAutorización AEPD

El Cliente tieneambas fórmulas

• Office 365, CRM Online y Azure

• Acuerdo Suplementario

• Los clientes quedan autorizadoscon una simple notificación

Trust Center · Centro de ConfianzaSomos igual transparentes en público

Cloud Trust Principles

Your Privacy Matters. We respect the privacy of your data.

Leadership in Transparency. You know ‘where’ data resides, ‘who’ can access it and ‘what’ we do with it.

Independently Verified. Compliance with World Class Industry standards verified by 3rd parties.

Relentless on Security. Excellence in Cutting edge security practices.

Nuestro compromiso hacia usted• Restricciones de uso de los datos• Acceso administrativo• Límites geográficos• Seguridad, auditoría y certificaciones• Cumplimiento de la normativa

Herramientas para entender la privacidad y la seguridad• Notificaciones sobre el cumplimiento• Información sobre la administración de cuentas y la facturación• Privacidad y seguridad específica para cada servicio

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Office 365 and the Office logo are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.