¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Microsoft 365 (anteriormente Office 365) es una suite de productividad basada en la nube que incluye Outlook, Word, Excel, PowerPoint, Teams, OneDrive y SharePoint. Procesa datos personales extensos, utiliza cookies y telemetría, y transfiere datos internacionalmente a través de la infraestructura global de centros de datos de Microsoft, lo que requiere el cumplimiento del RGPD mediante el Acuerdo de Tratamiento de Datos (DPA) y Cláusulas Contractuales Estándar.
Microsoft 365 (anteriormente Office 365) es una suite de productividad y colaboración basada en la nube desarrollada por Microsoft. Incluye Outlook, Word, Excel, PowerPoint, Microsoft Teams, OneDrive, SharePoint y una creciente gama de servicios como Viva Insights, Loop y Copilot. Cuando los componentes de Microsoft 365 están integrados en sitios web públicos (páginas de SharePoint, Microsoft Forms, enlaces de reuniones de Teams, paneles de Power BI), introducen consideraciones de privacidad para los operadores de sitios web sujetos al derecho europeo de protección de datos.
Microsoft 365 establece varias cookies para autenticación, gestión de sesiones, seguridad y análisis. Las cookies principales incluyen MUID (identificador único del equipo, 13 meses), ESTSAUTH y ESTSAUTHPERSISTENT (tokens de autenticación de Azure AD), AADSSO (estado de inicio de sesión único), MC1 (análisis de Microsoft, 13 meses) y MS0 (identificación de sesión). Microsoft también recopila datos de telemetría que cubren patrones de uso, métricas de rendimiento e informes de errores.
Microsoft 365 plantea importantes consideraciones relativas al RGPD debido a la amplitud y sensibilidad de los datos personales tratados en sus servicios. Microsoft actúa como encargado del tratamiento en virtud del Acuerdo de Tratamiento de Datos (DPA), que incorpora las CCE y términos específicos del RGPD de la UE. En noviembre de 2025, el Comisionado de Protección de Datos de Hesse publicó un informe de 137 páginas confirmando que Microsoft 365 puede operar dentro de los requisitos del RGPD cuando está correctamente configurado. Sin embargo, el cumplimiento sigue siendo una responsabilidad compartida.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base jurídica depende del uso específico de Microsoft 365. Para el uso interno de herramientas de productividad por parte de los empleados, generalmente se aplica la ejecución del contrato (art. 6, apartado 1, letra b) o el interés legítimo (art. 6, apartado 1, letra f). Los datos de diagnóstico opcionales deben desactivarse salvo que se obtenga el consentimiento. Cuando los componentes de M365 están integrados en sitios web públicos, se requiere el consentimiento explícito en virtud del art. 6, apartado 1, letra a) del RGPD y la Directiva ePrivacy.
Microsoft opera una red global de centros de datos y puede procesar datos de M365 en instalaciones de EE.UU., la UE y Asia Pacífico. Microsoft proporciona el DPA con CCE y ha implementado el Límite de datos de la UE, que garantiza que los datos principales de los clientes de los inquilinos elegibles se almacenen dentro de la UE y el EEE. Microsoft es participante certificado en el Marco de Privacidad de Datos UE-EE.UU. Ciertos flujos de datos como las solicitudes de soporte pueden seguir implicando procesamiento en EE.UU.
Para lograr el cumplimiento del RGPD con Microsoft 365 se recomiendan los siguientes pasos: revisar y aceptar el DPA en el Centro de administración; configurar los datos de diagnóstico al nivel mínimo requerido; habilitar el Límite de datos de la UE si es elegible; realizar una EIPD utilizando las plantillas de Microsoft; implementar banners de consentimiento de cookies en los sitios públicos con widgets de M365; configurar las políticas de retención de datos y las reglas DLP a través del portal de cumplimiento de Microsoft Purview; restringir el acceso de aplicaciones de terceros y activar el registro de auditoría.
Websites using Microsoft 365 must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda encarecidamente una EIPD para los despliegues de Microsoft 365 debido al tratamiento a gran escala de datos personales en correo electrónico (Outlook/Exchange), almacenamiento de archivos (OneDrive/SharePoint), colaboración (Teams) y aplicaciones de productividad. Áreas clave a evaluar: volumen y sensibilidad de los datos tratados, recopilación de telemetría y diagnóstico por parte de Microsoft, transferencias internacionales a EE.UU., riesgos de supervisión de empleados si se activan los análisis de productividad (Viva Insights), políticas de retención y eliminación de datos, y la idoneidad del DPA y las CCE para sus actividades de tratamiento específicas.
Sample consent text
Este sitio utiliza servicios integrados de Microsoft 365 (incluyendo SharePoint, Forms y widgets de Teams) que pueden establecer cookies y procesar datos personales en servidores de Microsoft, incluidos servidores fuera del Espacio Económico Europeo. Estas cookies habilitan la autenticación, la gestión de sesiones y la funcionalidad del servicio. Al aceptar, consiente este tratamiento de datos de acuerdo con el Acuerdo de Tratamiento de Datos de Microsoft. Puede retirar su consentimiento en cualquier momento a través de nuestra configuración de cookies.
Third-party domains contacted
login.microsoftonline.comoutlook.office.comsharepoint.comteams.microsoft.comonedrive.live.comoffice.comgraph.microsoft.comadmin.microsoft.comcompliance.microsoft.comforms.office.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| MUID | analytics | 13 months | Microsoft unique machine identifier used to track user interactions across Microsoft properties and for analytics. |
| ESTSAUTH | authentication | Session | Azure Active Directory authentication token that validates the user login session for Microsoft 365 services. |
| ESTSAUTHPERSISTENT | authentication | 90 days | Persistent Azure AD authentication token enabling the Keep me signed in functionality across browser sessions. |
| AADSSO | authentication | Session | Stores the single sign on state for Azure Active Directory, allowing seamless access across M365 applications. |
| MC1 | analytics | 13 months | Microsoft analytics cookie tracking user interactions with Microsoft services for usage reporting and improvement. |
| MS0 | functionality | Session | Session identification cookie for maintaining user state within Microsoft 365 web applications. |
| MSFPC | analytics | 13 months | Microsoft first party cookie used for analytics and site usage measurement across Microsoft online properties. |
| SignInStateCookie | authentication | Session | Tracks the authentication state during the login flow to prevent login replay attacks and ensure session integrity. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Microsoft 365 establece varias cookies, entre ellas MUID (identificador único del equipo, 13 meses), ESTSAUTH y ESTSAUTHPERSISTENT (tokens de autenticación de Azure AD), AADSSO (estado de inicio de sesión único), MC1 (análisis de Microsoft, 13 meses) y MS0 (identificación de sesión). Microsoft también recopila datos de telemetría sobre patrones de uso y métricas de rendimiento. Cuando los servicios M365 están integrados en sitios externos, pueden depositarse cookies de login.microsoftonline.com, sharepoint.com y office.com en los navegadores de los visitantes.
Para el uso interno por parte de los empleados, por lo general no se requiere consentimiento, ya que la ejecución del contrato o el interés legítimo sirven como base jurídica. Sin embargo, cuando los componentes de M365 como las páginas de SharePoint, Microsoft Forms o los paneles de Power BI están integrados en sitios web públicos, se requiere el consentimiento previo en virtud de la Directiva ePrivacy antes de establecer cookies no esenciales. La recopilación de datos de telemetría opcionales también requiere consentimiento o debe desactivarse.
El uso principal de productividad por parte de los empleados se basa en la ejecución del contrato (art. 6, apartado 1, letra b del RGPD) o en el interés legítimo (art. 6, apartado 1, letra f del RGPD). La recopilación de datos de diagnóstico necesarios está amparada por el interés legítimo. Los datos de diagnóstico opcionales deben desactivarse o contar con consentimiento. Los elementos incrustados en sitios públicos que establecen cookies requieren el consentimiento explícito (art. 6, apartado 1, letra a del RGPD). Cada actividad de tratamiento debe documentarse en el registro de actividades de tratamiento.
Sí. Microsoft opera centros de datos globales y puede procesar datos en instalaciones de EE.UU. Las transferencias están cubiertas por el DPA que incorpora CCE. Microsoft ha implementado el Límite de datos de la UE para los inquilinos elegibles y está certificado bajo el Marco de Privacidad de Datos UE-EE.UU. Sin embargo, algunos flujos de datos como las solicitudes de soporte y la telemetría de seguridad pueden seguir implicando procesamiento en EE.UU. El alcance extraterritorial de la Ley CLOUD de EE.UU. debe evaluarse en las evaluaciones de impacto de las transferencias.
Se recomienda encarecidamente una EIPD y es probable que sea obligatoria en virtud del art. 35 del RGPD para la mayoría de los despliegues de M365. La plataforma procesa grandes volúmenes de datos personales en correo electrónico, almacenamiento de archivos, colaboración y aplicaciones de productividad. Microsoft proporciona una plantilla de EIPD y una Matriz de elementos de servicio. La autoridad de protección de datos de Hesse confirmó en noviembre de 2025 que M365 puede cumplir con el RGPD cuando está correctamente configurado.
Revise y acepte el DPA en el Centro de administración de Microsoft 365. Configure los datos de diagnóstico al nivel mínimo requerido. Habilite el Límite de datos de la UE si es elegible. Realice una EIPD utilizando las plantillas de Microsoft. Implemente banners de consentimiento de cookies para los elementos de M365 incrustados en sitios públicos. Configure las políticas de retención de datos y las reglas DLP a través del portal de cumplimiento de Microsoft Purview. Restrinja el acceso de aplicaciones de terceros y active el registro de auditoría.
Las alternativas incluyen Nextcloud (colaboración de código abierto autoalojada), LibreOffice Online (suite ofimática de código abierto), Tutanota o ProtonMail (correo electrónico orientado a la privacidad), CryptPad (colaboración cifrada) e Infomaniak kSuite (productividad alojada en Suiza). Para videoconferencias, Jitsi Meet puede sustituir a Teams. Cada alternativa debe evaluarse en cuanto a su propio cumplimiento del RGPD y certificaciones de seguridad.
Enumere todas las cookies establecidas por los servicios M365 integrados, incluyendo nombres, propósitos, duraciones y dominios de origen (login.microsoftonline.com, sharepoint.com, office.com, teams.microsoft.com). Especifique si cada cookie es estrictamente necesaria o requiere consentimiento. Documente el papel de Microsoft como encargado del tratamiento, haga referencia al DPA y las CCE, y describa los datos de telemetría recopilados. Revise la política cada vez que cambien las integraciones de M365.