Usuários corporativos na Índia que implantam o Microsoft Copilot precisam entender como a Lei de Proteção de Dados Pessoais Digitais de 2023 se aplica às suas atividades de processamento de dados. A DPDP Act regula como os dados pessoais são coletados, armazenados e processados na Índia. A Microsoft publicou documentação de conformidade e compromissos contratuais para ajudar as organizações a atender a esses requisitos. Este artigo explica as principais cláusulas da DPDP Act que afetam o uso do Copilot, as medidas técnicas que a Microsoft oferece e as etapas que os administradores devem seguir para alinhar a implantação do Copilot à lei indiana de proteção de dados.
Principais Conclusões: Conformidade do Copilot com a DPDP Act para Organizações Indianas
- Termos de Produto Microsoft (Adendo DPDP): A Microsoft se compromete a processar dados pessoais apenas conforme instruções documentadas do cliente, alinhando-se aos requisitos de consentimento da DPDP Act.
- Central de administração do Microsoft 365 > Conformidade > Gerenciamento do Ciclo de Vida de Dados: Controla políticas de retenção, exclusão e exportação de dados que atendem aos princípios de minimização de dados e limitação de armazenamento da DPDP Act.
- Painel do Copilot > Configurações > Fontes de Dados: Os administradores devem restringir o Copilot aos dados do Microsoft Graph específicos do locatário para evitar o processamento de dados pessoais de terceiros sem consentimento válido.
Como a DPDP Act se Aplica ao Processamento de Dados do Copilot
A Lei de Proteção de Dados Pessoais Digitais de 2023 se aplica a qualquer entidade que processe dados pessoais na Índia ou processe dados de residentes indianos. O Copilot, quando integrado aos serviços do Microsoft 365, processa dados pessoais por meio de sua base no Microsoft Graph, arquivos, e-mails e prompts dos usuários. As principais obrigações da DPDP Act que afetam diretamente o uso do Copilot incluem:
Requisitos de Consentimento e Aviso
De acordo com a Seção 6 da DPDP Act, os fiduciários de dados devem obter consentimento explícito dos titulares dos dados antes de processar seus dados pessoais. Para o Copilot, isso significa que os administradores devem garantir que os usuários sejam informados sobre como seus dados são usados pelo Copilot. A Microsoft fornece um Contrato de Processamento de Dados que define o cliente como fiduciário de dados e a Microsoft como processadora de dados. O aviso de consentimento deve ser apresentado aos usuários antes de interagirem com o Copilot.
Minimização de Dados e Limitação de Finalidade
A Seção 7 da DPDP Act exige que os dados pessoais sejam coletados apenas para uma finalidade específica, clara e lícita. O Copilot não deve processar mais dados pessoais do que o necessário para responder a um prompt do usuário. A Microsoft atinge isso baseando as respostas do Copilot nos dados do Microsoft Graph do usuário e não em fontes de dados externas ou de terceiros, a menos que explicitamente configurado. Os administradores devem auditar quais fontes de dados o Copilot pode acessar para garantir que não incluam dados pessoais não relacionados à finalidade comercial.
Limitação de Armazenamento e Exclusão
A Seção 8 da DPDP Act determina que os dados pessoais sejam retidos apenas pelo tempo necessário para a finalidade para a qual foram processados. A Microsoft armazena os logs de interação do Copilot e o conteúdo gerado na caixa de correio do Exchange Online e nos sites do SharePoint do usuário. Os administradores devem configurar políticas de ciclo de vida de dados no centro de conformidade do Microsoft 365 para excluir ou arquivar automaticamente o conteúdo relacionado ao Copilot após o período de retenção necessário. A retenção padrão do histórico de chat do Copilot é de 30 dias, mas pode ser estendida ou reduzida por meio de rótulos de retenção.
Etapas para Configurar o Copilot em Conformidade com a DPDP Act
Para alinhar sua implantação do Copilot à DPDP Act, siga estas etapas na central de administração do Microsoft 365 e no centro de conformidade. Estas etapas pressupõem que você tenha privilégios de administrador global ou administrador de conformidade.
- Revise e aceite o Adendo DPDP da Microsoft
Acesse a central de administração do Microsoft 365. Selecione Configurações > Configurações da organização > Serviços > Microsoft Copilot. Na seção Proteção de Dados, revise o Adendo DPDP. Este documento contém os compromissos contratuais da Microsoft de processar dados pessoais apenas conforme suas instruções. Aceite o adendo para ativar os termos de conformidade para seu locatário. - Restrinja as fontes de dados do Copilot ao Microsoft Graph do locatário
Na central de administração do Microsoft 365, selecione Configurações > Configurações da organização > Microsoft Copilot. Na seção Fontes de Dados, certifique-se de que apenas Dados do Microsoft Graph esteja habilitado. Desabilite quaisquer conectores de terceiros ou fontes de dados públicas da web. Isso impede que o Copilot processe dados pessoais de fontes externas sem seu consentimento explícito. - Configure políticas de retenção de dados para conteúdo do Copilot
No centro de conformidade do Microsoft 365, selecione Gerenciamento do Ciclo de Vida de Dados > Políticas de retenção. Crie uma nova política de retenção para conteúdo gerado pelo Copilot. Defina o período de retenção de acordo com o cronograma de retenção de dados da sua organização sob a DPDP Act. Por exemplo, defina um período de retenção de 90 dias para correspondência comercial geral e 7 anos para registros legalmente exigidos. Aplique a política às caixas de correio do Exchange Online e aos sites do SharePoint onde o conteúdo do Copilot é armazenado. - Ative o registro de auditoria para interações do Copilot
No centro de conformidade, selecione Auditoria > Pesquisa de log de auditoria. Certifique-se de que o registro de auditoria esteja ativado para seu locatário. Isso registra todos os prompts e respostas do Copilot. Sob a DPDP Act, você deve ser capaz de demonstrar conformidade com as obrigações de processamento de dados. Os logs de auditoria fornecem as evidências necessárias para inspeções regulatórias. - Crie um aviso de consentimento para usuários do Copilot
Elabore um aviso que explique aos usuários como o Copilot processa seus dados pessoais. Inclua a finalidade do processamento, os tipos de dados processados e o período de retenção. Distribua este aviso pelos canais de comunicação interna da sua organização. Sob a DPDP Act, o consentimento deve ser livre, específico, informado e inequívoco. Atualize o aviso sempre que alterar as fontes de dados do Copilot ou as políticas de retenção.
Lacunas Comuns de Conformidade e Como Resolvê-las
Copilot acessa dados pessoais de indivíduos sem consentimento
Se o Copilot processar dados pessoais de indivíduos que não consentiram, você viola a Seção 6 da DPDP Act. Isso pode acontecer quando o Copilot indexa caixas de correio compartilhadas, calendários públicos ou grupos de distribuição que contêm dados pessoais de partes externas. Para corrigir isso, use a classificação de dados do Microsoft Purview para identificar e rotular dados pessoais. Em seguida, configure o Copilot para excluir dados de caixas de correio compartilhadas ou pastas públicas por meio das configurações de Fontes de Dados.
Retenção de dados excede a finalidade para a qual foram coletados
O histórico de chat do Copilot e os documentos gerados podem ser retidos por mais tempo do que o necessário. Sob a Seção 8 da DPDP Act, você deve excluir dados pessoais quando a finalidade for cumprida. Configure um rótulo de retenção no centro de conformidade com uma ação de exclusão após 30 dias para interações gerais do Copilot. Para documentos gerados pelo Copilot que contenham dados pessoais, defina um período de retenção mais curto, a menos que haja retenções legais.
Nenhum mecanismo para o titular dos dados solicitar exclusão
Sob a Seção 12 da DPDP Act, os titulares dos dados têm o direito de solicitar a exclusão de seus dados pessoais. Se um usuário solicitar a exclusão de conteúdo gerado pelo Copilot que contenha seus dados pessoais, você deve ser capaz de localizá-lo e excluí-lo. Use a ferramenta de Descoberta Eletrônica do Microsoft Purview para pesquisar conteúdo que contenha o nome ou endereço de e-mail do titular. Exporte os resultados e exclua o conteúdo do Exchange Online e do SharePoint. Documente a exclusão para registros de conformidade.
Processamento de Dados do Copilot em Comparação com as Obrigações da DPDP Act
| Obrigação da DPDP Act | Comportamento Padrão do Microsoft Copilot | Ação Necessária do Administrador |
|---|---|---|
| Consentimento e aviso | Nenhum aviso de consentimento é exibido aos usuários | Criar e distribuir um aviso de consentimento |
| Minimização de dados | Baseia-se nos dados do Microsoft Graph do usuário | Restringir fontes de dados apenas ao Graph do locatário |
| Limitação de finalidade | Processa dados apenas para prompts do usuário | Auditar permissões de fontes de dados regularmente |
| Limitação de armazenamento | Retenção de 30 dias para histórico de chat | Configurar políticas de retenção com exclusão |
| Direito de exclusão | Nenhum mecanismo automático de exclusão | Usar Descoberta Eletrônica para localizar e excluir conteúdo |
| Segurança de dados | Criptografia TLS em trânsito e em repouso | Habilitar chaves gerenciadas pelo cliente, se necessário |
Os administradores devem revisar cada linha e confirmar que as configurações do locatário correspondem à coluna de ação necessária. A configuração padrão do Copilot não atende totalmente às obrigações da DPDP Act sem configuração adicional.
Agora você pode configurar o Copilot para cumprir a DPDP Act restringindo fontes de dados, definindo políticas de retenção e criando um aviso de consentimento. Em seguida, execute uma varredura de classificação de dados usando o Microsoft Purview para identificar quaisquer dados pessoais que o Copilot possa processar sem consentimento adequado. Como etapa avançada, considere habilitar chaves gerenciadas pelo cliente para armazenamento de dados do Copilot para atender às obrigações de segurança de dados da DPDP Act sob a Seção 9.