Você precisa confirmar que o Microsoft Copilot está em conformidade com os requisitos do Artigo 28 do GDPR para sua organização. O Adendo de Processamento de Dados (DPA) é um documento legal que define como a Microsoft processa dados pessoais quando você usa os serviços do Copilot. Este passo a passo explica as principais seções do DPA, as etapas para aceitá-lo no centro de administração do Microsoft 365 e os termos específicos de proteção de dados que se aplicam aos recursos do Copilot. Você aprenderá onde encontrar o DPA e quais obrigações a Microsoft assume como processadora de dados.
Principais Conclusões: Passo a Passo do DPA do Microsoft Copilot para GDPR
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Privacidade > Adendo de Processamento de Dados: Local onde você pode visualizar e aceitar o DPA atual para os serviços do Copilot.
- Cláusulas do Artigo 28 do GDPR: Definem a Microsoft como processadora de dados, incluindo listas de subprocessadores, localização dos dados, exclusão de dados e direitos de auditoria.
- Processamento de dados específico do Copilot: A Microsoft processa prompts, respostas e dados de uso para a prestação do serviço, mas não utiliza esses dados para treinamento de modelos, a menos que você opte pelo Programa de Feedback do Cliente.
O que o Adendo de Processamento de Dados do Artigo 28 do GDPR cobre para o Copilot
O DPA é um acordo juridicamente vinculativo entre sua organização, como controladora de dados, e a Microsoft, como processadora de dados. Ele cobre todos os serviços do Microsoft 365, incluindo o Copilot. O DPA define o escopo do processamento de dados, os tipos de dados pessoais e a duração do processamento. Para o Copilot, o DPA aborda especificamente como a Microsoft lida com seus prompts, os dados de contexto que o Copilot recupera do Microsoft Graph e as respostas geradas.
O DPA incorpora as Cláusulas Contratuais Padrão para transferências internacionais de dados quando seus dados são processados fora do Espaço Econômico Europeu. A Microsoft publica o DPA no Centro de Confiabilidade da Microsoft e o atualiza quando novos recursos do Copilot alteram o escopo do processamento de dados. Você deve aceitar o DPA antes que sua organização possa usar o Copilot com proteção de dados empresariais.
Cláusulas Principais do DPA Relevantes para o Copilot
O Artigo 28 exige que o processador:
- Processe dados pessoais apenas conforme instruções documentadas do controlador. A Microsoft afirma que o Copilot processa dados apenas para os fins especificados na configuração do seu locatário, como fundamentar respostas em seus arquivos do SharePoint ou OneDrive.
- Garanta que o pessoal envolvido no processamento esteja sujeito a confidencialidade. A Microsoft aplica isso a toda a equipe de engenharia e suporte do Copilot.
- Implemente medidas técnicas e organizacionais apropriadas. Para o Copilot, isso inclui criptografia em trânsito e em repouso, controles de acesso via Azure AD e isolamento de dados entre locatários.
- Ajude o controlador com solicitações de titulares de dados. A Microsoft fornece ferramentas para você exportar ou excluir dados de interação do Copilot.
- Exclua ou devolva dados pessoais ao final do serviço. O DPA especifica que os dados do Copilot são excluídos em até 90 dias após o término do contrato.
- Notifique o controlador sobre violações de dados pessoais. A Microsoft tem uma política de notificação de 72 horas para violações que afetem os serviços do Copilot.
Etapas para Acessar e Aceitar o DPA do Copilot no Centro de Administração do Microsoft 365
Você deve ser um Administrador Global ou Administrador de Cobrança para visualizar e aceitar o DPA. O DPA é uma configuração de todo o locatário. Uma vez aceito, ele se aplica a todos os usuários da sua organização.
- Entre no centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com sua conta de administrador. Navegue até Configurações e depois Configurações da organização. - Abra a guia Privacidade
Na página Configurações da organização, selecione a guia Privacidade. Você verá a opção Adendo de Processamento de Dados. - Revise a versão atual do DPA
Clique em Adendo de Processamento de Dados. A página exibe o número da versão atual, a data de vigência e um link para o documento completo. A Microsoft atualiza o DPA quando os recursos do Copilot alteram o processamento de dados. Verifique a data da versão para confirmar que está revisando os termos mais recentes. - Leia o apêndice específico do Copilot
O DPA inclui um apêndice que lista todos os serviços da Microsoft cobertos. Procure por Microsoft Copilot para Microsoft 365 nesta lista. O apêndice especifica as categorias de dados, finalidades de processamento e subprocessadores para o Copilot. - Aceite o DPA
Se você concordar com os termos, clique em Aceitar. Uma caixa de diálogo de confirmação aparecerá. Clique em Confirmar para finalizar. O status mudará para Aceito. Você pode baixar uma cópia em PDF do DPA aceito para seus registros. - Verifique a aceitação em todos os locatários
Se sua organização usa vários locatários do Microsoft 365, repita o processo para cada locatário. A aceitação do DPA não é sincronizada entre locatários.
Perguntas Comuns Sobre o DPA do Copilot
O DPA cobre todas as versões do Copilot?
O DPA cobre o Copilot para Microsoft 365, o Copilot no Bing para usuários empresariais e o Copilot no Windows com contas empresariais. A versão gratuita do Copilot para consumidores não é coberta pelo DPA empresarial. O processamento de dados do Copilot para consumidores segue o Contrato de Serviços da Microsoft e a Declaração de Privacidade, não o DPA.
O que acontece se eu não aceitar o DPA?
Se você não aceitar o DPA, sua organização não poderá usar o Copilot com proteção de dados empresariais. Os usuários ainda podem acessar os recursos do Copilot, mas a Microsoft processa os dados sob os termos de serviço padrão, em vez do DPA em conformidade com o GDPR. Isso pode violar os requisitos de conformidade da sua organização. O centro de administração exibe um banner de aviso até que você aceite o DPA.
Posso rejeitar o DPA depois de aceitá-lo?
Você não pode rejeitar o DPA pelo centro de administração. Para remover a aceitação, você deve desabilitar o Copilot para seu locatário no centro de administração do Microsoft 365 em Configurações > Configurações da organização > Copilot. Desabilitar o Copilot não reverte a aceitação do DPA, mas interrompe o processamento de dados do Copilot. Entre em contato com o Suporte da Microsoft se precisar rescindir formalmente o DPA.
DPA do Copilot vs DPA dos Serviços Online da Microsoft: Principais Diferenças
| Item | DPA do Copilot | DPA dos Serviços Online da Microsoft |
|---|---|---|
| Escopo | Cobre o Copilot para Microsoft 365, Copilot no Bing empresarial, Copilot no Windows empresarial | Cobre todos os aplicativos do Microsoft 365, incluindo Exchange, SharePoint, Teams e Azure AD |
| Categorias de dados | Prompts, respostas, dados de contexto do Microsoft Graph, logs de uso | E-mails, documentos, mensagens de chat, itens de calendário, perfis de usuário |
| Subprocessadores | Infraestrutura Azure, hospedagem de modelo OpenAI (se ativado), Microsoft Graph | Infraestrutura Azure, serviços de terceiros listados na Lista de Subprocessadores |
| Retenção de dados | 90 dias após o término do contrato para dados de interação do Copilot | 30 dias após o término do contrato para a maioria dos dados do serviço |
| Treinamento de modelo | Os dados do cliente não são usados para treinamento, a menos que você opte pelo Feedback do Cliente | Os dados do cliente não são usados para treinamento de modelos de IA da Microsoft |
| Direitos de auditoria | A Microsoft fornece relatórios SOC 2 Tipo II e certificação ISO 27001 para serviços do Copilot | Os mesmos relatórios de auditoria estão disponíveis para todos os serviços do Microsoft 365 |
Conclusão
Agora você pode localizar e aceitar o Adendo de Processamento de Dados do Artigo 28 do GDPR do Microsoft Copilot no centro de administração do Microsoft 365, em Configurações > Configurações da organização > Privacidade. O DPA define a Microsoft como processadora de dados para o Copilot e inclui cláusulas específicas sobre exclusão de dados, notificação de violação e divulgação de subprocessadores. Revise o apêndice específico do Copilot para confirmar se as categorias de dados e finalidades de processamento correspondem aos seus requisitos de conformidade. Para conformidade contínua, monitore o Centro de Confiabilidade em busca de atualizações do DPA quando a Microsoft lançar novos recursos do Copilot que alterem o escopo do processamento de dados.