Nuevos riesgos para la privacidad Microsoft 365 Copilot

Microsoft 365 Copilot promete mucho: asistencia de IA en las aplicaciones de Office, mejor productividad, sugerencias inteligentes. Pero una investigación reciente de SURF ha demostrado que los riesgos para la privacidad siguen siendo importantes. La Evaluación del Impacto sobre la Protección de Datos (EIPD) se ha actualizado¹: algunos riesgos elevados se han rebajado a medio/naranja, otros se han mantenido.

Para las instituciones educativas y de investigación holandesas, esto es una llamada de atención: ¿cómo aprovechar las ventajas de un software de IA como Copilot sin que ello suponga una diferencia en privacidad, seguridad y gobernanza? ALTA-ICT te ayuda a encontrar ese equilibrio, con medidas concretas, información sobre la normativa y asesoramiento a medida.

Gestión del ciclo de vida de los activos informáticos y del software – Eficacia y conformidad

¿Qué concluye SURF?

SURF aconseja precaución al utilizar Microsoft 365 Copilot, especialmente en sectores como la educación y la investigación².
La reciente DPIA muestra que de los cuatro riesgos altos originales, ahora quedan dos que siguen clasificados como “medio/naranja”:
1. Datos (personales) inexactos
2. El periodo de conservación de los datos personales de diagnóstico sobre el uso del servicio.
SURF recomienda llegar a acuerdos claros dentro de las organizaciones sobre el uso de la IA, adoptar una política de uso de la IA y sopesar los riesgos para la privacidad de cada tipo de uso.
Microsoft ha introducido algunas mejoras, pero SURF desconfía de que no se hayan abordado de forma convincente todos los riesgos.

¿Por qué es importante para las organizaciones neerlandesas?

AVG/cumplimiento: las aplicaciones de IA, como Copilot, a menudo recopilan y procesan datos personales. La inexactitud o la falta de claridad de los periodos de conservación podrían dar lugar a infracciones de la AVG.
Reputación y confianza: Se espera que las instituciones educativas salvaguarden la privacidad de los alumnos y el personal. Una violación de datos o un uso indebido por parte de la IA puede dañar rápidamente la confianza pública.
Normativa cambiante: se acerca la Ley de IA de la UE, y la legislación/códigos nacionales se están endureciendo. Los riesgos de nivel naranja podrían dar lugar a fuertes multas más adelante, en virtud de normas más estrictas.
Dependencia y riesgo del proveedor: Las organizaciones dependen de Microsoft como proveedor. Sin acuerdos claros y garantías contractuales, el control sobre el uso de la IA es menos seguro.

¿Cómo puede tu organización desplegar Copilot de forma segura?

En ALTA-ICT, recomendamos los siguientes pasos prácticos para un uso seguro y conforme de Microsoft 365 Copilot en Holanda:

1. DPIA / Análisis de impacto

Realizar una Evaluación de Impacto de la Protección de Datos específica para Copilot. Determinar dónde se procesan los datos personales, los periodos de conservación y las posibles inexactitudes.

2. Política y Gobernanza

Establece una política interna de IA: quién está autorizado a utilizar Copilot, para qué, qué datos están/no están permitidos y quién es responsable. Establece una estructura de funciones clara para la supervisión y el cumplimiento.

3. Medidas técnicas y organizativas

Aplica medidas de seguridad como la encriptación, los límites de acceso, el registro y la supervisión, y la gestión de los datos de diagnóstico.

4. Acuerdos contractuales

En los acuerdos con Microsoft, define claramente qué datos se almacenan, durante cuánto tiempo, quién tiene acceso y qué derechos de auditoría se aplican.

5. Formación y sensibilización

Informa a los usuarios y administradores sobre los riesgos. Fórmalos sobre lo que deben/no deben compartir con Copilot y cómo actuar en caso de datos incorrectos.

6. Revisión y evaluación periódicas

Realiza nuevas DPIA y auditorías externas con regularidad. Haz un seguimiento de las mejoras de Microsoft y ajusta las políticas cuando sea necesario.

Retos y condiciones marco

Algunos riesgos son técnicamente difíciles de eliminar por completo, por ejemplo la inexactitud de los datos o del registro de diagnóstico.
Coste y esfuerzo: para muchas instituciones, esto significa trabajo extra, esfuerzo de gobernanza y posiblemente apoyo legal.
Dependencia del proveedor: Microsoft debe ser transparente sobre las mejoras. Las organizaciones deben ser críticas y los contratos nítidos.
La localización de los datos y la legislación internacional pueden añadir complejidad (dónde se almacenan los datos, a qué jurisdicción pertenecen).

El enfoque ALTA-TIC

ALTA-ICT proporciona una vía preparada para que las instituciones educativas y de investigación utilicen Copilot (y herramientas similares de IA) de forma responsable:

Enfoque de la privacidad y la seguridad con certificación ISO 27001 / NEN 7510
Asesoramiento jurídico sobre AVG, Ley AI y contratos con proveedores
Plantillas y conjuntos de herramientas para DPIA, políticas de usuarios de IA y auditorías
Apoyo a la supervisión y auditoría, revisiones periódicas
Talleres y formación para empleados, TI, dirección

Conclusión

El consejo de SURF de mantener los riesgos para la privacidad de Microsoft 365 Copilot en NARANJA es acertado. Copilot ofrece oportunidades, pero no sin condiciones previas, políticas y salvaguardias técnicas claras. Las organizaciones que actúen de forma proactiva pueden beneficiarse de la IA al tiempo que mantienen el cumplimiento y garantizan la confianza de los usuarios.

¿Quieres saber si tu organización está preparada para Copilot, sin riesgos innecesarios? Programa una consulta gratuita con ALTA-ICT. Juntos, garantizaremos un futuro de IA seguro y responsable.

Referencia

¹20250911-surf-public-update-dpia-on-m365-copilot-for-education-website.pdf

²https://www.surf.nl/nieuws/privacyrisicos-microsoft-365-copilot-naar-oranje

¿Quieres saber más?

Ponte en contacto

img[data-role="placeholder-img"] { display: none; } ALTA-ICT visual over Copilot privacyrisico’s oranje niveau