En paralelo con la definición de los controles y la configuración del Administrador de Cumplimiento, la organización debe hacer un esfuerzo por trazar toda información personal que esté localizada fuera de Office 365 y establecer un mecanismo para dar al Office 365 conocimiento de la misma, ya sea introduciéndola o creando registros de metadatos que se actualicen cada vez que la información externa varíe en cualquier sentido.
Una vez toda la información esté disponible en Office 365, se podrá configurar la herramienta de Búsqueda de Contenido para descubrir todos los datos personales existentes en el sistema. Los detalles de este paso se describen más adelante en la sección Utilización de Búsqueda de Contenido.
¿Cómo proteger la información sensible?
Office 365 y Azure ofrecen funciones de protección que deben ser utilizadas sobre los datos personales para poder cumplir el GDPR. Además, se deberá contar con la capacidad de monitorizar una posible filtración de datos personales.
En primer lugar, deberían configurarse las políticas de DLP estableciendo permisos sobre las bibliotecas de SharePoint y utilizando políticas de acceso desde dispositivos. Esta configuración de DLP se realiza desde la herramienta del SCC y se puede ver un ejemplo de configuración en el enlace de Vista general de políticas DPL e Introducción a la directiva DLP predeterminada.
Microsoft ofrece varios ejemplos de configuración en su guía de Protección de la Información para el GDPR en la que ofrece varios niveles de protección dependiendo de lo sensible que sea la información que maneja una organización.