¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Outlook Web App

¿Qué hace Outlook Web App (OWA)?

Outlook Web App (OWA) es el cliente de correo basado en navegador de Microsoft 365/Exchange, que ofrece correo, calendario, contactos y tareas en el navegador. Como parte de la suite Microsoft 365, procesa el contenido de los correos, los adjuntos y los datos de calendario en infraestructura de Microsoft. La conformidad con el RGPD se rige por el DPA de Microsoft 365.

¿Qué es Outlook Web App?

Outlook Web App (OWA), también llamado Outlook on the web, es el cliente de correo en navegador de Microsoft 365 y Exchange Server. Los usuarios acceden a correo, calendario, contactos y tareas a través de outlook.office.com o de un servidor Exchange propio. OWA forma parte de la plataforma de servicios Microsoft 365 y comparte sus mecanismos de identidad, telemetría y seguridad.

¿Qué datos y cookies trata OWA?

OWA instala cookies de autenticación (ESTSAUTH, AADSSO) para el inicio de sesión vía Azure AD/Entra ID, cookies anti CSRF y de sesión (X OWA CANARY, SignInStateCookie) y cookies de telemetría (MUID, MC1, MS0). El contenido tratado incluye textos de correo, adjuntos, eventos de calendario, contactos e índices de búsqueda. Microsoft también recoge datos de diagnóstico (Required y Optional Diagnostic Data) configurables a nivel de tenant.

Implicaciones RGPD y ePrivacy

Para los buzones de empleados, la base jurídica suele ser la ejecución del contrato (art. 6(1)(b) RGPD) o el interés legítimo (art. 6(1)(f)) para la seguridad de la información. Si se incrustan componentes de OWA en sitios públicos (por ejemplo, complementos de reservas) o se activa telemetría opcional, aplican el art. 5(3) de la Directiva ePrivacy y la LSSI: se requiere consentimiento previo informado.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias de datos y EU Data Boundary

Microsoft opera OWA en centros de datos globales. La EU Data Boundary almacena los datos clave (correos, calendario, identidad) de clientes de la UE dentro de la UE/EEE. Determinados flujos de telemetría y soporte pueden seguir transfiriéndose a EE. UU. Microsoft ofrece Cláusulas Contractuales Tipo y el marco DPF (Data Privacy Framework). Se recomienda añadir medidas suplementarias como cifrado con claves del cliente (Customer Key).

Pasos de cumplimiento para OWA

Firme el DPA de Microsoft con las CCT vigentes, active la EU Data Boundary en su tenant, limite los datos de diagnóstico opcionales al mínimo y configure políticas de retención y eliminación con Microsoft Purview. Incluya OWA en su Registro de Actividades de Tratamiento y forme al personal en clasificación de correos y manejo seguro de adjuntos.

GDPR consent category

Otros

Websites using Outlook Web App (OWA) must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b)) for email service, consent for analytics cookies (Art. 6(1)(a))

Risk levelhigh

Applicable regulationsGDPR, ePrivacy, UK GDPR, HIPAA, SOC 2, ISO 27001

DPIA considerations

Se recomienda una EIPD como parte de la evaluación de Microsoft 365. El contenido del correo es intrínsecamente sensible. Evalúe categorías de datos, sensibilidad de adjuntos, compartición de calendarios, telemetría y subencargados de Microsoft.

Sample consent text

Este sitio integra componentes de Outlook Web App. Microsoft puede instalar cookies. Los datos se tratan conforme al DPA de Microsoft. Puede gestionar el consentimiento desde los ajustes de cookies.

Technical details

Tracking methodweb based email client with cookies, authentication tokens, telemetry, local storage

Server locationGlobal (Microsoft data centers, EU Data Boundary available)

Data transferred outside the EUPart of Microsoft 365. Data hosted on Microsoft global data centers. EU Data Boundary available. DPA with SCCs provided.

Third-party domains contacted

outlook.office.comoutlook.office365.comlogin.microsoftonline.comattachments.office.net

Cookies placed

Name	Type	Duration	Purpose
cadata	authentication	Session	OWA session cookie maintaining the webmail authenticated state.
ESTSAUTH	authentication	Session	Azure AD authentication token for Outlook Web App.
UC	functionality	1 year	Stores Outlook user interface state preferences.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Cookies?

Las mismas que Microsoft 365: MUID, ESTSAUTH, AADSSO, MC1, MS0, SignInStateCookie de login.microsoftonline.com y outlook.office.com.

¿Se requiere consentimiento?

Para correo interno de empleados, no (ejecución del contrato). Las cookies de analítica/telemetría pueden requerir consentimiento. Los componentes OWA incrustados en sitios públicos exigen consentimiento ePrivacy.

¿Base jurídica?

Ejecución del contrato (art. 6(1)(b)) para correo de empleados. Interés legítimo para seguridad. Consentimiento para telemetría opcional.

¿Transferencias a EE. UU.?

Forma parte de Microsoft 365. EU Data Boundary disponible. DPA con CCT. Vea la ficha de Microsoft 365 para más detalles.

¿EIPD?

Recomendada como parte de la evaluación general de Microsoft 365. El correo trata datos personales sensibles por naturaleza.

¿Pasos de cumplimiento?

Aceptar el DPA de Microsoft. Configurar datos de diagnóstico. Activar EU Data Boundary. Definir políticas de retención con Purview. Formar al personal.

¿Alternativas?

ProtonMail (Suiza, cifrado), Tutanota/Tuta (Alemania, cifrado), Posteo (Alemania), Mailbox.org (Alemania), Infomaniak Mail (Suiza).

¿Política de cookies?

Documentar cookies de autenticación y telemetría de Microsoft. Referenciar el DPA de Microsoft. Mismo marco que Microsoft 365.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note