Empresas no Reino Unido que usam o Microsoft Copilot precisam verificar se o serviço atende aos padrões de proteção de dados estabelecidos pelo UK General Data Protection Regulation e pela Data Protection Act 2018. Muitas organizações se preocupam com a forma como o Copilot processa prompts, armazena o histórico de conversas e acessa os dados do Microsoft Graph. Essas preocupações são válidas, pois o Copilot opera como um serviço em nuvem que interage com os dados do Microsoft 365 do seu locatário. Este artigo explica os compromissos específicos de conformidade que a Microsoft assume, os controles que os administradores podem configurar e as etapas para alinhar o uso do Copilot à lei de proteção de dados do Reino Unido.
Principais Conclusões: Conformidade do Microsoft Copilot com o UK GDPR e a DPA 2018
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Copilot > Proteção de dados: Confirme que as configurações de limite de dados restringem o processamento do Copilot à região do Reino Unido.
- Portal de conformidade do Microsoft Purview > Gerenciamento do ciclo de vida dos dados > Rótulos de retenção: Aplique políticas de retenção aos logs de conversa do Copilot para atender aos limites de armazenamento da DPA 2018.
- Azure AD > Aplicativos empresariais > Serviço Microsoft Copilot > Permissões: Revise e revogue quaisquer permissões da API do Graph que o Copilot não exija para seu caso de uso.
Como o UK GDPR e a Lei de Proteção de Dados de 2018 se Aplicam ao Copilot
O UK GDPR é a versão doméstica do Regulamento Geral de Proteção de Dados da UE, mantida após o Brexit. A Lei de Proteção de Dados de 2018 complementa o UK GDPR com regras adicionais para aplicação da lei, serviços de inteligência e isenções. Juntos, eles exigem que qualquer controlador que processe dados pessoais de residentes do Reino Unido o faça de forma lícita, justa e transparente. Eles também determinam a minimização de dados, a limitação de finalidade, a limitação de armazenamento e medidas técnicas e organizacionais adequadas.
O Microsoft Copilot processa prompts que podem conter dados pessoais. Quando um usuário pede ao Copilot para resumir um e-mail, redigir uma cláusula contratual ou analisar uma planilha, o prompt e os dados subjacentes do Microsoft Graph trafegam pela infraestrutura de nuvem da Microsoft. De acordo com o UK GDPR, a organização que licencia o Microsoft 365 é a controladora de dados. A Microsoft atua como operadora de dados. A controladora deve garantir que a operadora ofereça garantias suficientes para implementar medidas técnicas e organizacionais adequadas.
O Adendo de Proteção de Dados da Microsoft para o Microsoft 365 inclui compromissos que se aplicam ao Copilot. O DPA incorpora as Cláusulas Contratuais Padrão para transferências internacionais, que são reconhecidas como um mecanismo de transferência válido sob o UK GDPR. A Microsoft também mantém certificações como ISO 27001, SOC 2 Tipo II e o esquema UK Cyber Essentials Plus. Essas certificações demonstram que a Microsoft implementou um sistema de gerenciamento de segurança alinhado às expectativas do Reino Unido.
As principais áreas de conformidade para o Copilot são residência de dados, limitação de finalidade, direitos dos titulares de dados e uso de IA para tomada de decisão automatizada. Cada área possui controles específicos que os administradores podem configurar no centro de administração do Microsoft 365 e no portal de conformidade do Microsoft Purview.
Etapas para Configurar o Copilot para Conformidade com o UK GDPR
- Verifique a residência de dados no centro de administração do Microsoft 365
Acesse o centro de administração do Microsoft 365 e navegue até Configurações > Configurações da organização > Copilot. Em Proteção de dados, confirme que o local de processamento de dados está definido como Reino Unido. Essa configuração garante que todos os prompts e respostas do Copilot sejam armazenados e processados em data centers do Reino Unido. Se a opção não estiver visível, seu locatário pode ter uma configuração multigeográfica que exija configuração adicional. - Revise e limite as permissões do Graph para o Copilot
Abra o Azure Active Directory e vá para Aplicativos empresariais > Serviço Microsoft Copilot. Em Permissões, revise as permissões do Microsoft Graph que foram concedidas ao Copilot. Revogue todas as permissões que não são essenciais para os casos de uso pretendidos do Copilot. Por exemplo, se você usa o Copilot apenas no Word e no Excel, pode remover permissões para mensagens do Teams ou coleções de sites do SharePoint que contenham dados pessoais confidenciais. - Aplique rótulos de retenção aos logs de conversa do Copilot
No portal de conformidade do Microsoft Purview, vá para Gerenciamento do ciclo de vida dos dados > Rótulos de retenção. Crie um rótulo específico para logs de conversa do Copilot. Defina o período de retenção como a duração mais curta que atenda à sua necessidade de negócios, normalmente 30 dias ou menos. Publique o rótulo para todos os usuários e aplique-o automaticamente usando uma política de retenção que tenha como alvo o conjunto de dados de conversa do Copilot. - Habilite o tratamento de solicitações de titulares de dados no Purview
Acesse o portal de conformidade do Microsoft Purview e abra Solicitações de titulares de dados. Crie um modelo de solicitação para dados do Copilot. Quando um titular de dados do Reino Unido exercer seu direito de acesso, exclusão ou portabilidade sob o UK GDPR, use este modelo para pesquisar os logs de conversa do Copilot. A Microsoft fornece uma ferramenta de pesquisa de conteúdo que pode localizar prompts e respostas contendo os dados pessoais do titular. - Configure o registro de auditoria para interações do Copilot
No centro de administração do Microsoft 365, vá para Segurança > Auditoria. Habilite a gravação do log de auditoria para todos os eventos relacionados ao Copilot. Isso captura quem usou o Copilot, quando e quais dados foram acessados. Retenha os logs de auditoria pelo período mínimo exigido pela sua política de proteção de dados. O UK GDPR não especifica um período de retenção fixo para logs, mas o ICO recomenda retê-los apenas pelo tempo necessário para fins de prestação de contas. - Limite o acesso ao Copilot a grupos de usuários específicos
No centro de administração do Microsoft 365, vá para Usuários > Usuários ativos. Selecione um usuário e vá para Licenças e aplicativos. Desative o Copilot para usuários que não precisam dele. Para um controle mais granular, use políticas de acesso condicional do Azure AD para restringir o acesso ao Copilot a usuários em grupos de segurança específicos ou apenas de dispositivos gerenciados.
Se o Copilot Ainda Levantar Preocupações de Conformidade
O Copilot processa prompts fora da região do Reino Unido
Se você perceber que os prompts estão sendo processados em um data center fora do Reino Unido, verifique a configuração de residência de dados do seu locatário. Acesse o centro de administração do Microsoft 365 e verifique se o local de dados padrão do seu locatário está definido como Reino Unido. Se você usar uma configuração multigeográfica, certifique-se de que o local de dados preferido de cada usuário esteja definido como Reino Unido. Entre em contato com o suporte da Microsoft se a opção de local de processamento de dados do Copilot estiver ausente no seu centro de administração.
O Copilot acessa dados pessoais que não deveria
Revise as permissões do Microsoft Graph conforme descrito na etapa 2. Se o Copilot ainda retornar dados de fontes que contenham dados pessoais, use rótulos de confidencialidade no Microsoft Purview para classificar documentos e e-mails. Em seguida, configure o Copilot para excluir itens com rótulos de confidencialidade específicos de seu escopo de pesquisa. Isso impede que o Copilot leia ou resuma documentos que contenham dados de categoria especial sob o UK GDPR.
Solicitações de titulares de dados não conseguem localizar logs do Copilot
Certifique-se de que o registro de auditoria esteja ativado e que os rótulos de retenção sejam aplicados corretamente. Se os logs estiverem ausentes, verifique a política de retenção para confirmar se ela está direcionando o conjunto de dados correto. No Purview, execute uma pesquisa de conteúdo pelo nome ou endereço de e-mail do titular dos dados no conjunto de dados de conversa do Copilot. Se a pesquisa não retornar resultados, amplie a pesquisa para incluir caixas de correio do Exchange e sites do SharePoint onde as interações do Copilot podem ter sido armazenadas como rascunhos ou documentos compartilhados.
Copilot para Microsoft 365 vs Copilot Pro: Diferenças na Proteção de Dados do Reino Unido
| Item | Copilot para Microsoft 365 | Copilot Pro |
|---|---|---|
| Local de processamento de dados | Configurável para a região do Reino Unido via centro de administração | Fixo na região do consumidor, normalmente EUA ou UE |
| Ferramentas para solicitações de titulares de dados | Pesquisa de conteúdo do Microsoft Purview e modelos DSR | Nenhuma ferramenta administrativa; o usuário deve contatar o suporte da Microsoft |
| Controle de política de retenção | Controle total via rótulos de retenção do Purview | Nenhum controle de política de retenção |
| Registro de auditoria | Log de auditoria detalhado de todos os eventos do Copilot | Limitado a logs básicos de entrada |
| Escopo de acesso a dados do Graph | Amplo no locatário com permissões controladas pelo administrador | Apenas dados da conta Microsoft do próprio usuário |
| Cobertura do DPA | Coberto pelo DPA do Microsoft 365 com SCCs do Reino Unido | Termos de serviço do consumidor; sem DPA |
Empresas do Reino Unido que processam dados pessoais devem usar o Copilot para Microsoft 365 em vez do Copilot Pro. Apenas a versão empresarial oferece os controles administrativos, opções de residência de dados e cobertura de DPA necessários para atender às obrigações do UK GDPR e da DPA 2018. O Copilot Pro é projetado para consumidores individuais e não oferece as mesmas garantias de conformidade.
Após configurar as opções descritas acima, execute um teste com um prompt de exemplo contendo dados pessoais fictícios. Use o portal de conformidade do Microsoft Purview para verificar se o prompt e a resposta estão armazenados na região do Reino Unido, se o rótulo de retenção foi aplicado e se o log de auditoria capturou o evento. Essa validação confirma que sua implantação do Copilot atende às medidas técnicas e organizacionais exigidas pelo UK GDPR e pela Lei de Proteção de Dados de 2018.
Revise periodicamente a orientação do ICO sobre IA e proteção de dados, pois as expectativas regulatórias para serviços de IA generativa continuam evoluindo. Considere configurar uma revisão de conformidade recorrente a cada seis meses para reavaliar as permissões do Copilot, as políticas de retenção e as configurações de residência de dados. Essa abordagem proativa garante que sua organização permaneça em conformidade à medida que a Microsoft atualiza os recursos do Copilot e a lei de proteção de dados do Reino Unido se desenvolve.