El responsable del tratamiento de los datos personales en relación con el uso de Microsoft 365 es

• la empresa del Grupo Würth en la que usted trabaja, o
• la empresa del Grupo Würth con la que mantiene una relación comercial y en la que se utiliza Microsoft 365.

Encontrará una lista de todas las empresas (incluidas las direcciones y los datos de contacto) en el directorio de empresas del Grupo Würth.

Los datos de contacto de los delegados de protección de datos o de las oficinas de protección de datos competentes se encuentran fácilmente accesibles en la declaración de protección de datos de la página web de la empresa que le corresponda. Si no está seguro de qué contacto utilizar, puede solicitar en cualquier momento los datos de contacto del delegado de protección de datos que le corresponda en dataprotection@wuerth-it.com.

Esta información se refiere al tratamiento de datos personales durante el uso de M365 en el marco de las actividades de tratamiento estándar que se llevan a cabo con este programa. No tiene en cuenta los tratamientos posteriores que puedan realizarse en el futuro con la ayuda de M365. Se informará por separado sobre otros tratamientos.

En la sección 2 de esta información sobre protección de datos encontrará una descripción detallada de las actividades de tratamiento típicas, incluidas las categorías de datos tratados, los fines del tratamiento, las bases jurídicas pertinentes y el periodo de conservación.

Tenga en cuenta que no todas las actividades de tratamiento descritas allí son relevantes para todas las personas afectadas. El tratamiento concreto depende de su función (por ejemplo, empleado, socio comercial externo) y de las funciones utilizadas de M365.

Recurrimos a proveedores de servicios externos que prestan servicios en nuestro nombre. Para ello, se transmiten sus datos personales a los proveedores de servicios. Cualquier transmisión y acceso a sus datos personales se limita a aquellas personas que necesitan dichos datos para el cumplimiento de sus obligaciones profesionales y para la prestación de M365.

Se trata de los siguientes proveedores de servicios:

• Würth IT GmbH (Alemania)
• Microsoft Ireland Operations Ltd. (Irlanda)
• Microsoft Corporation (EE. UU.)
• Otros subcontratistas según la lista actualizada en el portal Microsoft Service Trust Portal

Además, transmitimos sus datos personales a autoridades gubernamentales, tribunales, asesores externos y terceros similares que sean instituciones públicas, en la medida en que sea necesario o esté permitido por la legislación vigente.

Algunos de los destinatarios de sus datos personales se encuentran fuera del EEE (concretamente, en EE. UU.). Mediante una decisión de adecuación de conformidad con el artículo 45 del RGPD y (en la medida en que esta no sea aplicable o haya dejado de serlo) la celebración de garantías adecuadas basadas en las cláusulas contractuales tipo (2021/914/UE) o por otros medios adecuados, nos hemos asegurado de que todos los destinatarios que se encuentran fuera del EEE ofrecen un nivel adecuado de protección de los datos personales.

Sus datos personales serán almacenados por nosotros y/o nuestros proveedores de servicios exclusivamente en la medida y durante el tiempo necesarios para cumplir con nuestras obligaciones hacia usted o para cumplir con las obligaciones del proveedor de servicios hacia nosotros. Cuando la finalidad del tratamiento de datos haya dejado de existir, los datos personales se eliminarán de los sistemas y/o registros y/o se tomarán medidas para anonimizar adecuadamente sus datos personales, de modo que ya no sea posible identificarle a partir de ellos. Esto no se aplicará si nosotros y/o nuestros proveedores de servicios estamos obligados a conservar su información más allá de ese plazo:

• para cumplir con las obligaciones legales o reglamentarias a las que estamos sujetos nosotros y/o nuestro proveedor de servicios; y/o
• en relación con los plazos legales para interponer acciones legales.

Las normas concretas de conservación para cada tratamiento se describen en la sección 2 de esta política de privacidad.

Usted tiene los siguientes derechos: (i) el derecho de acceso; (ii) el derecho a obtener una copia de sus datos personales que son objeto del tratamiento; (iii) el derecho de rectificación; (iv) el derecho de supresión («derecho al olvido»); (v) el derecho a la limitación del tratamiento; (vi) el derecho a la portabilidad de los datos y (vii) el derecho a presentar una reclamación ante la autoridad de control competente en materia de protección de datos.

Además, tiene derecho a oponerse: puede oponerse al tratamiento de sus datos si este se basa en el artículo 6, apartado 1, letra f) del RGPD o se realiza con fines de marketing directo. En caso de oposición al tratamiento de sus datos personales, examinaremos su oposición en cada caso concreto. Si, debido a su oposición, estamos obligados por la legislación en materia de protección de datos a suprimir sus datos personales, los suprimiremos teniendo en cuenta las obligaciones legales de conservación. La oposición no afectará a la licitud del tratamiento realizado hasta el momento de la oposición.

Si ha dado su consentimiento para el tratamiento de datos personales, puede revocar dicho consentimiento en cualquier momento. Dicha revocación no afectará a la legalidad del tratamiento realizado antes de la revocación del consentimiento.

Para utilizar M365 se requieren determinados datos de carácter técnico y organizativo (por ejemplo, identificaciones de usuario, datos de contacto comerciales). En la medida en que los datos se faciliten de forma voluntaria o se requiera el consentimiento (por ejemplo, en el caso de las grabaciones de reuniones), se proporcionará información específica en el proceso correspondiente.

La toma de decisiones automatizada en el sentido del artículo 22, apartado 1, del RGPD y la elaboración de perfiles en el sentido del artículo 4, apartado 4, del RGPD no tienen lugar en el marco del uso de M365.

Esta información sobre protección de datos puede estar sujeta a cambios, por ejemplo, debido a la implementación de nuevas tecnologías o la introducción de nuevos servicios o funciones. Nos reservamos el derecho de modificar o completar esta información sobre protección de datos en cualquier momento.

Si participa en un evento en línea a través de Microsoft Teams, procesamos sus datos de participación y el contenido del evento (por ejemplo, transmisión de audio/vídeo, mensajes de chat y transcripciones de voz) para permitir la realización del evento y la comunicación.

Categorías de datos personales

• Nombre
• Datos de contacto profesionales
• Información de participación
• Contenidos (audio/vídeo, chat, grabaciones, transcripciones).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo consiste en permitir una comunicación eficiente y la realización de eventos. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral. Para el tratamiento en el marco de las grabaciones, se requiere su consentimiento de conformidad con el artículo 6, apartado 1, letra a) del RGPD.

Periodo de almacenamiento

Las grabaciones de las reuniones se almacenan de forma predeterminada durante 90 días, a menos que la persona que invita establezca una configuración diferente. Los datos del calendario están sujetos a las directrices de conservación de Outlook.

Utilizamos Microsoft Teams para proporcionar funciones de audio, videoconferencia y colaboración para reuniones internas.

Categorías de datos personales

• Datos de contacto (nombre, correo electrónico)
• Perfil laboral (denominación del puesto, superior jerárquico, empleados directamente subordinados)
• Datos de contenido (audio, vídeo, chat, archivos, grabaciones, transcripciones).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo radica en la realización de reuniones internas eficientes e independientes de la ubicación, así como en la provisión de una plataforma segura e integrada para la comunicación y la colaboración en tiempo real. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral. Para el tratamiento en el marco de las grabaciones, se requiere su consentimiento de conformidad con el artículo 6, apartado 1, letra a) del RGPD.

Periodo de almacenamiento

Las grabaciones de las reuniones se eliminan de forma predeterminada después de 120 días, a menos que el usuario que realiza la grabación establezca una configuración diferente.

Para la colaboración basada en texto, procesamos mensajes de chat y archivos compartidos para permitir una coordinación rápida y la comunicación entre el equipo.

Categorías de datos personales

• Datos de contacto de los empleados (nombre, dirección de correo electrónico)
• Perfil laboral (cargo, superior, empleados directamente subordinados)
• Datos de contenido (chat, archivos).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo radica en proporcionar una forma de comunicación rápida, segura e independiente de la ubicación para la coordinación interna y la colaboración dentro de una plataforma central. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral.

Periodo de almacenamiento

El almacenamiento se rige por la política de retención de Outlook establecida por el administrador. Las directrices relativas al periodo de retención pueden ser definidas por el administrador en el marco de una política de grupo y configuradas por los usuarios individuales. Microsoft permite al usuario seleccionar las siguientes directrices: 7 días, 30 días, 90 días, 1 año, 5 años o «nunca».

Para la colaboración en los canales de Teams, procesamos el contenido de los chats y los archivos, así como la información sobre las funciones y la pertenencia al equipo. Las renovaciones periódicas de los canales garantizan que solo se conserve el contenido activo.

Categorías de datos personales

• Datos de contacto de los empleados (nombre, dirección de correo electrónico)
• Perfil laboral (denominación del puesto, superior, empleados directamente subordinados)
• Datos de contenido (chat, archivos).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo radica en proporcionar una forma de comunicación rápida, segura e independiente de la ubicación para la coordinación interna y la colaboración dentro de una plataforma central. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral.

Periodo de almacenamiento

Los canales deben ser renovados por los administradores del canal cada 180 días. Si no se renuevan, se eliminará el contenido correspondiente.

Los usuarios que dispongan de una cuenta de correo electrónico pueden participar como invitados en Microsoft Teams. Con el acceso de invitado, las personas que no pertenecen a la empresa tienen acceso a equipos, documentos en canales, recursos, chats y aplicaciones, mientras que la empresa mantiene el control sobre los datos de la empresa.

Categorías de datos personales

• Datos de contacto de los invitados (nombre de usuario, dirección de correo electrónico)
• Credenciales (ID de objeto Entra ID, datos de la cuenta de invitado).
• Datos de contenido (chat, archivos, grabaciones, transcripciones).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo radica en proporcionar una forma de comunicación rápida, segura e independiente de la ubicación para la coordinación externa y la colaboración dentro de una plataforma centralizada. Para el tratamiento en el marco de las grabaciones, se requiere su consentimiento de conformidad con el artículo 6, apartado 1, letra a) del RGPD.

Periodo de almacenamiento

Los datos de contacto de los invitados se eliminan de forma predeterminada al cabo de tres meses, a menos que deban conservarse durante más tiempo debido a requisitos legales o necesidades organizativas.

Para llevar a cabo la comunicación de voz a través de Microsoft Teams, procesamos los datos necesarios para las llamadas telefónicas, incluidas las grabaciones y transcripciones opcionales.

Categorías de datos personales

• Datos de contacto de los empleados (nombre, dirección de correo electrónico)
• Perfil laboral (cargo, superior, empleados directamente subordinados)
• Datos de contenido (grabaciones, transcripciones de voz).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo consiste en proporcionar una solución de telefonía integrada, segura e independiente de la ubicación que permita una comunicación y una colaboración eficientes dentro de una plataforma centralizada. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral. Para el tratamiento en el marco de grabaciones y transcripciones, se requiere su consentimiento de conformidad con el artículo 6, apartado 1, letra a) del RGPD.

Periodo de almacenamiento

Las señales de audio se transmiten en streaming y no se almacenan, a menos que se active la grabación. Las grabaciones de audio se eliminan de forma predeterminada después de 120 días, a menos que el usuario que realiza la grabación establezca una configuración diferente.

Para la comunicación interna y externa por correo electrónico, utilizamos Exchange/Outlook y procesamos el contenido de los correos electrónicos, los archivos adjuntos y la información de entrega relacionada con el sistema.

Categorías de datos personales

• Datos de contenido (texto del correo electrónico, archivos adjuntos)
• Datos de contacto (nombre, dirección de correo electrónico)
• Metadatos (por ejemplo, marca de tiempo, información de entrega).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en permitir la comunicación interna y externa por correo electrónico, así como una gestión eficiente del correo electrónico. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral.

Periodo de conservación

El almacenamiento se rige por la política de retención de Outlook establecida por el usuario. Las políticas de duración de la retención pueden ser definidas por el administrador en el marco de una política de grupo y configuradas por los usuarios individuales. Microsoft permite al usuario seleccionar las siguientes políticas: 7 días, 30 días, 90 días, 1 año, 5 años o «nunca». Los buzones de correo se eliminan como parte del proceso de baja 30 días después de la salida del empleado, a menos que el usuario haya eliminado los datos previamente.

Para organizar citas y reuniones, procesamos el contenido del calendario y la información de los participantes.

Categorías de datos personales

• Datos de contenido (contenido de reuniones, archivos adjuntos)
• Datos de contacto (nombre, dirección de correo electrónico).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en garantizar la organización eficiente de citas y reuniones, así como en proporcionar una función de calendario integrada. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral.

Periodo de conservación

El almacenamiento se rige por la política de retención de Outlook establecida por el usuario. Las políticas de duración de la retención pueden ser definidas por el administrador en el marco de una política de grupo y configuradas por los usuarios individuales. Microsoft permite al usuario seleccionar las siguientes políticas: 7 días, 30 días, 90 días, 1 año, 5 años o «nunca». Todo el calendario se elimina 30 días después de que el empleado abandone la empresa, a menos que el usuario haya eliminado los datos previamente.

Para el almacenamiento conjunto de archivos y la gestión de permisos, procesamos documentos y metadatos asociados. De este modo, facilitamos los procesos de trabajo colaborativos y el acceso controlado.

Categorías de datos personales

• Datos de contenido (documentos, hojas de cálculo, presentaciones, etc.)
• Datos de contacto (nombre, dirección de correo electrónico).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en permitir un almacenamiento de archivos centralizado y controlado y mejorar la colaboración en la empresa. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral.

Periodo de almacenamiento

El período de retención de cada archivo depende de la función comercial del contenido. Los propietarios de sitios de SharePoint deben renovar una página de SharePoint cada 180 días de forma predeterminada; los archivos de SharePoint se eliminan si no se renueva la página web. Los archivos de OneDrive son eliminados por el usuario de acuerdo con la política de la empresa sobre conservación de documentos. Esto ocurre 30 días después de que el empleado abandone la empresa, a menos que el usuario haya eliminado los datos previamente.

Para la distribución de tareas y la programación, procesamos datos de planificación con el fin de facilitar la colaboración en equipos.

Categorías de datos personales

• Datos de contacto (nombre, dirección de correo electrónico)
• Datos de contenido (respuestas a formularios).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en proporcionar una solución eficiente para la distribución de tareas, la planificación y la gestión de proyectos. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la Ley federal alemana de protección de datos (BDSG), siempre que sea necesario para la ejecución de la relación laboral.

Periodo de almacenamiento

Los planes en Planner deben ser renovados cada 180 días por uno de los propietarios del plan. Si no se renuevan, se eliminará el contenido correspondiente.

Para proporcionar asistencia basada en IA en las tareas cotidianas, Copilot procesa datos de contenido y credenciales del entorno de la organización. El procesamiento se lleva a cabo dentro de los servicios y permisos configurados en cada caso.

Categorías de datos personales

• Datos de contenido (archivos, conversaciones, metadatos)
• Credenciales (ID de la organización (ID de objeto de Azure Active Directory / ID de objeto de Entra ID)).

Base jurídica

El procesamiento se realiza sobre la base del artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en proporcionar una solución que ayude a realizar las tareas cotidianas de forma más eficiente y rápida.

Periodo de conservación

Los historiales de chat se conservan durante un máximo de 30 días o menos. Los contenidos creados por los usuarios permanecen hasta que estos los eliminan.

Proporcionamos aplicaciones de Office para el cumplimiento de tareas laborales. Para ello, tratamos datos de contenido y uso con el fin de permitir la creación, edición y uso compartido de documentos.

Categorías de datos personales

• Datos de contacto de los empleados (nombre, dirección de correo electrónico)
• Datos de contenido (archivos, comentarios, perfiles, firmas)
• Configuración del software/datos de inventario (ajustes definidos por el usuario).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en proporcionar aplicaciones para el procesamiento de textos y datos, así como para la productividad, y garantizar su integración. El tratamiento también puede basarse en el artículo 6, apartado 1, letra b) del RGPD o en el artículo 26, apartado 1 de la BDSG, siempre que sea necesario para la ejecución de la relación laboral.

Periodo de almacenamiento

El almacenamiento depende de la finalidad comercial de los contenidos correspondientes. La configuración del software para OneDrive for Business es de 30 días tras la finalización de la relación laboral para el empleado, a menos que el usuario haya eliminado los datos previamente o que no se haya establecido un periodo de conservación superior a 90 días para OneDrive for Business. Los documentos que no pueden eliminarse por motivos legales se conservarán mientras existan dichos motivos.

Para diagnosticar casos de asistencia técnica e incidentes de seguridad, M365 procesa los datos de diagnóstico que se generan al utilizar los servicios. Esto permite estabilizar el rendimiento del producto, corregir errores y analizar incidentes de seguridad.

Categorías de datos personales

• Datos de uso de productos y servicios (informes y datos de errores/fallos)
• Datos de rendimiento de productos y servicios (datos de rendimiento de aplicaciones).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestro interés legítimo consiste en garantizar la estabilidad, la seguridad y la calidad de los servicios informáticos.

Periodo de conservación

Los datos de diagnóstico se generan en relación con otras actividades de procesamiento y no se almacenan de forma aislada. El almacenamiento concreto depende de las actividades pertinentes en cada caso.

Cuando la función Secure Print está activada, los trabajos de impresión se almacenan temporalmente y solo se liberan tras una autenticación satisfactoria, por ejemplo, mediante la tarjeta de acceso personal (credencial). De este modo, nos aseguramos de que los documentos confidenciales solo puedan ser recogidos por personas autorizadas.

Categorías de datos personales

• Datos de contacto de los empleados (nombre, dirección de correo electrónico)
• Datos de contenido (archivos de impresión)
• Interacciones en el lugar de trabajo (uso de la tarjeta de acceso, si procede).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en garantizar una función de impresión segura y eficiente.

Periodo de conservación

Por lo general, los trabajos de impresión se eliminan automáticamente al cabo de 10 días.

Para proteger los datos y los sistemas informáticos, tratamos datos de dispositivos y de configuración con el fin de detectar y prevenir amenazas y garantizar la integridad de los sistemas.

Categorías de datos personales

• Datos de conectividad y configuración de dispositivos (por ejemplo, dirección IP, fabricante del dispositivo, modelo del dispositivo, BIOS, procesador, nombre del dispositivo, plataforma del sistema operativo)
• Configuración del software y datos de inventario (por ejemplo, inventario de software, versiones de software)
• Datos de contacto (nombre, dirección de correo electrónico)
• Datos de contenido (correo electrónico, archivos adjuntos).

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos consisten en prevenir amenazas a los sistemas informáticos y garantizar la seguridad de los sistemas.

Periodo de conservación

Los datos relevantes para la seguridad se conservan hasta 12 meses, en la medida en que sea necesario para detectar y analizar amenazas.

En el marco del funcionamiento de M365 se generan registros, datos de diagnóstico y metadatos generados por el sistema que pueden ser utilizados, entre otras cosas, para la facturación y la elaboración de informes por parte de Microsoft.

Categorías de datos personales

• Datos de registro generados por el sistema
• Datos de diagnóstico
• Metadatos.

Base jurídica

El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD. Nuestros intereses legítimos se derivan de los intereses de Microsoft en el tratamiento de datos personales para actividades comerciales y consisten en permitir a Microsoft prestar los servicios contractuales.

Periodo de conservación

Para los datos de registro y los datos de diagnóstico generados por el sistema se aplica la descripción de las demás actividades de tratamiento. La base de datos de actividades comerciales no se almacena por separado.