Las autoridades alemanas siguen confiando en Microsoft 365 a pesar de la preocupación por la protección de datos. La cuestión del cumplimiento del GDPR sigue abierta, mientras que las empresas y las autoridades dependen en gran medida de proveedores de TI no europeos. Esto afecta especialmente al software y las aplicaciones en el ámbito de la Computación en nube.
Una encuesta muestra que alrededor del 80% de las empresas se sienten dependientes de proveedores no europeos para tecnologías digitales clave. Esta situación plantea interrogantes sobre Seguridad de los datos y Conformidad especialmente con respecto a la Autoridades Riesgos para la protección de datos de Microsoft Cloud.
El uso de Microsoft 365 en casi todas las empresas ilustra el dominio del proveedor. Ya en 2018, una evaluación de impacto sobre la protección de datos (DPIA) alemana constató que el uso de Office 365 no era compatible con la ley de protección de datos. Sin embargo, la dependencia no ha disminuido.
Conclusiones importantes
- Las autoridades alemanas utilizan Microsoft 365 a pesar de los problemas de protección de datos
- Alrededor de 80% de las empresas se sienten dependientes de proveedores informáticos no europeos
- Un DSFA de 2018 declaró Office 365 como no conforme con la protección de datos
- El cumplimiento del GDPR por parte de Microsoft 365 sigue siendo controvertido
- La falta de alternativas europeas aumenta la dependencia
Autoridades Riesgos de protección de datos de Microsoft Cloud: Situación actual
El uso de servicios en la nube de Microsoft en las administraciones alemanas va en aumento a pesar de la preocupación por la protección de datos. Al menos seis estados federados tienen previsto introducir estos servicios en su administración. El sitio Gestión de riesgos se enfrenta a grandes retos.
Dependencia de las autoridades alemanas de los servicios en nube
Baja Sajonia y Baviera son pioneras en el uso de Teams y Microsoft 365, mientras que Hamburgo tiene previsto equipar entre 8.000 y 10.000 puestos de trabajo administrativos con Microsoft 365 para finales de año. Renania del Norte-Westfalia y Bremen les seguirán en 2025. Esta evolución muestra la creciente dependencia de los servicios en la nube en el sector público.
Falta de alternativas europeas
La falta de alternativas europeas está impulsando el uso de los servicios de Microsoft. El Gobierno alemán planea ofrecer Microsoft 365 a través de Delos, filial de SAP, para Política de privacidad a cumplir. Algunos Estados, como Baden-Württemberg, están a favor de esta solución. Se está desarrollando OpenDesk, una alternativa de código abierto, pero su acogida ha sido limitada.
Superioridad técnica de los proveedores estadounidenses
La superioridad técnica de los proveedores estadounidenses es indiscutible. Sin embargo, los graves incidentes de seguridad de Microsoft Azure Los riesgos en 2021 y 2022. Piratas informáticos chinos accedieron a numerosas cuentas de correo electrónico, incluidas las de empleados del Gobierno estadounidense. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) obligó entonces a las autoridades estadounidenses a tomar medidas de protección. Hacer frente a Datos de la autoridad exige las normas de seguridad más estrictas.
La creciente dependencia de los servicios de Microsoft, unida a los problemas de seguridad, plantea a las autoridades un dilema entre eficiencia y protección de datos.
Procesamiento de datos en Microsoft 365: Aspectos básicos
Microsoft 365 está diseñado como software como servicio (SaaS) e incluye programas como Word, Excel y PowerPoint. El tratamiento de datos en este Nube híbrida-es complejo y plantea problemas de protección de datos.
Office 365 procesa varios tipos de datos. Esto incluye datos funcionales, datos de contenido, datos de diagnóstico y datos de Connected Experiences. En función de la categoría y la finalidad, Microsoft asume diferentes funciones: como procesador o controlador independiente.
La Conferencia Alemana de Protección de Datos (DSK) ha determinado que no es posible demostrar que Microsoft 365 funcione de conformidad con la normativa de protección de datos. A pesar de los ajustes en la adenda de protección de datos (DPA), se siguen transfiriendo datos personales a Estados Unidos.
Microsoft tiene previsto introducir una frontera de datos de la UE en 2024 para garantizar el tratamiento de datos personales en centros de datos europeos. Con ello se pretende dar respuesta a las preocupaciones relativas a la Azure-infraestructuras.
Los usuarios de Windows y Office 365 deben tener en cuenta que se recopilan datos de diagnóstico para solucionar problemas y mejorar el sistema. También se utiliza un identificador publicitario único para la publicidad personalizada.
El procesamiento de datos en Microsoft 365 sigue siendo un tema complejo con desafíos para la protección y la seguridad de los datos. Conformidad.
Datos funcionales y de contenido para los servicios en la nube de Microsoft
Al utilizar los servicios en la nube de Microsoft se generan varios tipos de datos. Pueden dividirse en datos funcionales y de contenido. Cada categoría desempeña un papel importante para la Computación en nube y el Seguridad de los datos.
Definición y tipos de datos funcionales
Los datos funcionales son esenciales para el funcionamiento de los servicios en la nube. Incluyen información técnica como datos de ubicación para la sincronización horaria o detalles de conexión. Estos datos permiten el buen funcionamiento de los servicios de Microsoft y contribuyen a la Conformidad con.
Tratamiento de datos de contenido
Los datos de contenido son información generada por el usuario, como textos en documentos de Word o correos electrónicos en Outlook. Microsoft actúa aquí como procesador y utiliza estos datos exclusivamente para prestar los servicios. El procesamiento se lleva a cabo bajo estrictas directrices de protección de datos.
Clasificación con arreglo a la legislación sobre protección de datos
La evaluación jurídica varía en función del tipo de datos y de la finalidad del tratamiento. Una evaluación de impacto sobre la protección de datos reveló 8 áreas problemáticas en el uso de Office 365, y Microsoft solo fue capaz de minimizar satisfactoriamente los riesgos en 2 áreas. En el caso de Outlook y Teams en particular, la Seguridad de los datos un factor crítico.
| Tipo de datos | Tratamiento | Importancia de la protección de datos |
|---|---|---|
| Datos funcionales | Funcionamiento técnico | Medio |
| Datos de contenido | Prestación de servicios | Alta |
| Datos de diagnóstico | Análisis y mejora | Muy alta |
Los usuarios deben activar los ajustes de privacidad y configurar las funciones de telemetría para limitar la recopilación de datos. Las normas internas de uso de Microsoft 365 pueden ayudar a regular el manejo de datos sensibles y aumentar la seguridad de los datos.
Los datos de diagnóstico y su importancia para la seguridad de los datos
Los datos de diagnóstico desempeñan un papel importante en la Gestión de riesgos de la nube de Microsoft. Proporcionan información sobre el funcionamiento y la seguridad de los sistemas. El manejo de estos datos es especialmente delicado para las autoridades, ya que a menudo contienen información confidencial. Datos de la autoridad proceso.
Datos de diagnóstico necesarios
Esta categoría incluye información básica como datos del dispositivo e informes de errores. Son esenciales para el buen funcionamiento de las aplicaciones. Microsoft ha restringido severamente el tratamiento de estos datos para minimizar el Política de privacidad para cumplir.
Datos de diagnóstico opcionales
Los datos de diagnóstico opcionales proporcionan información adicional para mejorar los productos. Sin embargo, su uso puede resultar problemático con arreglo a la legislación sobre protección de datos. Las autoridades deben considerar cuidadosamente qué datos de este tipo divulgan.
Almacenamiento y tratamiento
El almacenamiento y el tratamiento de los datos de diagnóstico están sujetos a estrictas medidas de seguridad. Microsoft ha introducido medidas de protección contractuales adicionales y ha incluido los metadatos y los datos de diagnóstico como objeto del procesamiento de pedidos.
| Tipo de datos | Tratamiento | Importancia de la protección de datos |
|---|---|---|
| Datos de diagnóstico necesarios | Gravemente restringido | Bajo |
| Datos de diagnóstico opcionales | Ampliado | Potencialmente alto |
Para un manejo seguro de los datos de diagnóstico, recomendamos desactivar la telemetría o la transmisión de datos de diagnóstico. Los datos especialmente sensibles deben guardarse en servicios de almacenamiento cifrados. Estas medidas ayudan a las autoridades a cumplir las estrictas Política de privacidad.
Experiencias conectadas y sus implicaciones para la protección de datos
Las Experiencias Conectadas en Office 365 ofrecen funciones adicionales que requieren una conexión a Internet. Estos servicios permiten, por ejemplo, colaborar en documentos de OneDrive o realizar traducciones en Word. Sin embargo, también plantean dudas sobre la protección de datos.
El uso de experiencias conectadas en un Nube híbrida-puede ser problemático. El procesamiento de datos no puede justificarse simplemente con Microsoft como procesador. En su lugar, puede ser necesario un acuerdo de control conjunto.
Las estadísticas actuales muestran el carácter explosivo del tema:
- 90% de las empresas consideran esencial el cumplimiento del GDPR para las soluciones en la nube
- 79% exigen transparencia en la arquitectura de seguridad
- 67% dan importancia a la ubicación del proveedor de la nube
Estas cifras ilustran las elevadas exigencias en materia de protección y seguridad de datos, a las que también responden Azure y Office 365. Las empresas deben estudiar detenidamente el uso de Connected Experiences y, si es necesario, considerar soluciones alternativas para conservar el control sobre sus datos.
| Aspecto | Requisito | Relevancia de las experiencias conectadas |
|---|---|---|
| Cumplimiento del GDPR | 90% | Alta |
| Transparencia en materia de seguridad | 79% | Medio |
| Ubicación del proveedor | 67% | Alta |
Evaluación de las autoridades alemanas de protección de datos
La conferencia nacional de protección de datos examinó de cerca las disposiciones de protección de datos de Microsoft 365. Los resultados de esta investigación se presentaron en un exhaustivo informe de 60 páginas.
Posición de DSK
La conferencia sobre protección de datos hace hincapié en la responsabilidad de las empresas a la hora de utilizar Microsoft 365 de conformidad con la normativa sobre protección de datos. No se ha producido ni una advertencia sobre el producto ni una prohibición, pero las empresas deben, no obstante, estar informadas sobre los flujos de datos y tomarse en serio sus responsabilidades en materia de protección de datos.
Juicios críticos
Los principales puntos criticables a la hora de utilizar Microsoft 365 son la transmisión de Datos de la autoridad a los EE.UU., falta de transparencia en el tratamiento de datos e insuficientes oportunidades de intervención del cliente. Las autoridades supervisoras examinan los déficits en la protección de datos y dan a los responsables la oportunidad de rectificarlos.
Consecuencias jurídicas
El Tribunal de Apelación de Berlín aclaró que los dictámenes periciales de las autoridades de control de la protección de datos solo representan una opinión jurídica a la que los tribunales no están vinculados. El uso de Microsoft 365 conforme a la protección de datos es posible, pero requiere medidas de cumplimiento específicas. Estas pueden tener un impacto en la vida laboral diaria, como un rendimiento más lento o un uso restringido de determinadas funciones.
| Aspecto | Requisito | Posible impacto |
|---|---|---|
| Transmisión de datos | Redirección del tráfico de datos | Rendimiento más lento |
| Transparencia | Direcciones de correo electrónico seudónimas | Intercambio de datos más difícil |
| Telemetría | Ajuste de la transmisión de datos | Solución de problemas limitada |
| Actualizaciones | Seguimiento de las actualizaciones de productos | Trabajo administrativo adicional |
Perspectivas internacionales: Evaluación del DSFA neerlandés
El gobierno holandés ha llevado a cabo una innovadora Evaluación de Impacto sobre la Protección de Datos (DPIA) para Microsoft Office 365. Esta evaluación proporciona información importante para la Computación en nube y la seguridad de los datos en Europa.
Inicialmente, el uso de Office 365 se clasificó como no conforme con la normativa de protección de datos. Tras intensas negociaciones y ajustes por parte de Microsoft, la versión 1905 de Office 365 ProPlus se consideró conforme. Esto demuestra lo importante que es la eficacia Gestión de riesgos en el ámbito de la computación en nube.
Una DPIA más reciente sobre Microsoft Teams, OneDrive, SharePoint y Azure AD llegó a una conclusión positiva. La evaluación reveló que no existen riesgos elevados para la protección de datos, siempre que se apliquen las medidas recomendadas. Esta evaluación subraya la importancia de la seguridad de los datos y la gestión proactiva de los riesgos cuando se utilizan servicios en la nube.
La evaluación holandesa de DSFA demuestra que las soluciones de computación en nube pueden cumplir las normas de protección de datos si se implantan y supervisan correctamente.
Estas conclusiones son muy pertinentes para las autoridades alemanas. Demuestran que el uso seguro de los servicios en nube es posible si se toman las precauciones necesarias. Sin embargo, la revisión y adaptación continuas de las medidas de seguridad de los datos sigue siendo una tarea central de la gestión de riesgos en el sector público.
Medidas técnicas y organizativas adoptadas por Microsoft
Microsoft ha tomado amplias medidas para mejorar la protección de datos y los requisitos de cumplimiento de sus servicios en la nube. Estas medidas tienen por objeto optimizar la gestión de riesgos y cumplir la normativa de protección de datos.
Medidas de protección de datos
El gigante tecnológico ha restringido el tratamiento de datos de diagnóstico y ha aumentado la transparencia. Como procesador de datos, Microsoft ayuda a las organizaciones a cumplir los requisitos del GDPR, incluido el tratamiento de las solicitudes de los interesados. Purview Compliance Manager ofrece funciones para evaluar el estado de cumplimiento y reducir los riesgos.
Conceptos de seguridad
Los conceptos de seguridad de Microsoft incluyen el tratamiento seguro de los datos de los clientes de acuerdo con instrucciones documentadas. Esto incluye actividades como facturación, compensación e informes internos. Microsoft hace hincapié en que los datos de los clientes o la información derivada de ellos no se utiliza para la elaboración de perfiles, publicidad o fines comerciales similares.
Requisitos de conformidad
A pesar de estos esfuerzos, según la Conferencia de Protección de Datos (DSK), sigue habiendo inseguridad jurídica en la aplicación de las medidas técnicas y organizativas. El diseño de las obligaciones de devolución y supresión no cumple plenamente los requisitos del artículo 28 del RGPD. También se critica que la información sobre los nuevos subencargados del tratamiento no sea lo suficientemente detallada, lo que podría perjudicar los esfuerzos de cumplimiento.
Español 
Deutsch 
English 
Français 
Polski